I de seneste dage har det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed (CISA) udsendt en hasteadvarsel om aktiv udnyttelse af sårbarhed CVE-2023-0386, fundet i Linux-kernen. Denne sårbarhed, der er vurderet som høj alvorlig, er blevet identificeret som en fejl i administrationen af ejerskabstilladelser i OverlayFS-undersystemet. Udnyttelse giver lokale brugere mulighed for at eskalere privilegier og få administratoradgang, hvilket sætter ethvert berørt Linux-system i fare.
Fejlen er især bekymrende pga. Det påvirker en bred vifte af miljøer, fra servere og virtuelle maskiner til skyen., til containere og endda Windows Subsystem til Linux (WSL)-installationer. Disse typer scenarier, hvor privilegiesegmentering mellem brugere er kritisk, kan blive alvorligt kompromitteret, hvis der ikke installeres passende programrettelser.
Hvad er CVE-2023-0386 sårbarheden?
Problemets oprindelse ligger i, hvordan OverlayFS håndterer filkopieringsoperationer med særlige funktioner mellem forskellige monteringspunkterSpecifikt, hvis en bruger kopierer en fil med forhøjede tilladelser fra en montering konfigureret som nosuid til en anden montering, fjerner kernen ikke setuid- og setgid-bittene korrekt under operationen. Dette åbner døren for en angriber, der allerede har lokal adgang, til at køre filer med root-rettigheder og omgå de sædvanlige begrænsninger.
Sårbarhed påvirker kerneversioner før 6.2-rc6 der har OverlayFS og brugernavneområder aktiveret. Udbredte distributioner som Debian, Ubuntu, Red Hat og Amazon Linux er på listen over sårbare systemer, hvis de ikke har modtaget den tilsvarende opdatering. Desuden er den lethed, hvormed fejlen kan udnyttes, blevet demonstreret med offentliggørelsen af proofs of concept (PoC) på GitHub siden maj 2023, hvilket har ført til en dramatisk stigning i forsøg på udnyttelse.
Omfang og farer i kritiske miljøer
CVE-2023-0386 blev kategoriseret som en svaghed i ejendomsadministration (CWE-282) i OverlayFS, og kan udnyttes til at omgå brugergrænser i systemer med flere lejere, virksomheder eller endda cloudplatforme. Uanset om det er på fysiske eller virtuelle maskiner, containere eller infrastrukturer, der er afhængige af fildeling, udgør fejlen en betydelig risiko på grund af den lethed, hvormed den kan hæve lokale rettigheder.
Ifølge adskillige analyser foretaget af sikkerhedsfirmaer som Datadog og Qualys, udnyttelse er triviel Lokal adgang er tilstrækkelig til at udløse angrebet og kræver ingen yderligere interaktion. Dette gør det til en ideel vektor for interne angribere, kompromitterede processer eller situationer, hvor brugere uden administratorrettigheder har tilladelse til at operere. Faktisk er der observeret automatiserede kampagner, der søger efter og udnytter systemer, der endnu ikke er blevet patcht, især efter udgivelsen af offentlige værktøjer og exploits.
Branchens reaktioner og opdateringer
Fejlen blev rapporteret og rettet i starten af 2023 af Miklos Szeredi., en nøgleudvikler på Linux-kernen, via en dedikeret commit (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Programrettelsen strammer bruger- og gruppekontrol under kopieringsoperationer og forhindrer kontinuitet, hvis UID- eller GID-tilknytningen er ugyldig i det aktuelle navnerum. Dette har til formål at sikre konsistens med POSIX ACL'er og forhindre scenarier, hvor standard UID/GID 65534 blev tildelt, hvilket kunne manipuleres.
Producenter som NetApp var blandt de første til at offentliggøre vejledninger med detaljerede oplysninger om berørte produkter., herunder adskillige controllermodeller og produkter, der integrerer præ-patchede kerneversioner. De bekræfter, at udnyttelse kan resultere i dataadgang, ændring af information eller endda denial of service (DoS)-angreb. Red Hat og andre leverandører er også begyndt at opdatere for at imødegå denne sårbarhed.
Anbefalinger og hasteforanstaltninger for at beskytte dig selv mod denne sårbarhed
Det amerikanske agentur for cybersikkerhed og infrastruktur (CISA) har tilføjet CVE-2023-0386 til sit katalog over udnyttede sårbarheder og kræver, at amerikanske føderale myndigheder opdaterer senest den 8. juli 2025. For alle andre organisationer og brugere er anbefalingen klar:
- Opgrader til Linux-kernen 6.2-rc6 eller nyere for at sikre, at fejlen er rettet.
- Overvåg systemer for unormal privilegieadfærd, især i miljøer med containere, flere brugere eller kritisk infrastruktur.
- I miljøer, hvor programrettelsen ikke kan installeres med det samme, anbefales det midlertidigt at deaktivere OverlayFS eller begrænse lokal adgang til ikke-administratorbrugere så meget som muligt.
- Konsulter officielle meddelelser og kataloger (CISA's KEV), og prioriter sårbarheden.
Den tildelte angrebsvektor svarer til CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, hvilket afspejler den store potentielle indvirkning på fortrolighed, integritet og tilgængelighed, hvis den udnyttes med succes.
Denne sårbarhed understreger vigtigheden af at holde Linux-systemer konstant opdaterede og overvågede, især i virksomhedsmiljøer eller miljøer, der håndterer følsomme data. Selvom udnyttelse kræver lokal adgang, øger eksistensen af offentlige PoC'er og automatiserede angreb vigtigheden af at afhjælpe eventuelle sårbare instanser så hurtigt som muligt. Eskalering af rettigheder til root under disse omstændigheder kan resultere i et tab af fuldstændig kontrol over infrastrukturen.
