Америчка Агенција за сајбер безбедност и безбедност инфраструктуре (CISA) издала је последњих дана хитно упозорење у вези са активним коришћењем... рањивост ЦВЕ-КСНУМКС-КСНУМКС, откривена у Линукс језгру. Ова рањивост, оцењена као високо озбиљна, идентификована је као грешка у управљању дозволама власништва унутар подсистема OverlayFS. Експлоатација омогућава локалним корисницима да ескалирају привилегије и добију администраторски приступ, доводећи у опасност сваки погођени Линукс систем.
Грешка је посебно забрињавајућа јер Утиче на широк спектар окружења, од сервера и виртуелних машина до облака., до контејнера, па чак и до имплементација Windows подсистема за Linux (WSL). Ове врсте сценарија, где је сегментација привилегија између корисника критична, могу бити озбиљно угрожене ако се не примене одговарајуће закрпе.
Шта је ЦВЕ-2023-0386 рањивост?
Поријекло проблема лежи у начину на који OverlayFS обрађује операције копирања датотека са посебним могућностима између различитих тачака монтирањаКонкретно, ако корисник копира датотеку са повишеним дозволама са монтирања конфигурисаног као носуид на друго монтирање, језгро не уклања правилно битове setuid и setgid током операције. Ово отвара врата нападачу који већ има локални приступ да извршава датотеке са root дозволама, заобилазећи уобичајена ограничења.
Рањивост утиче на верзије кернела пре 6.2-rc6 који имају омогућен OverlayFS и корисничке именске просторе. Широко коришћене дистрибуције као што су Debian, Ubuntu, Red Hat и Amazon Linux налазе се на листи рањивих система ако нису добиле одговарајуће ажурирање. Штавише, лакоћа којом се мана може искористити демонстрирана је објављивањем доказа концепта (PoC) на GitHub-у од маја 2023. године, што је довело до драматичног повећања покушаја експлоатације.
Обим и опасности у критичним окружењима
CVE-2023-0386 је категорисан као слабост у управљању имовином (CWE-282) у OverlayFS-у., и може се искористити за заобилажење корисничких граница у системима са више закупаца, предузећима или чак платформама у облаку. Било да се ради о физичким или виртуелним машинама, контејнерима или инфраструктурама које се ослањају на дељење датотека, ова грешка представља значајан ризик због лакоће којом може повећати локалне привилегије.
Према неколико анализа безбедносних фирми као што су Datadog и Qualys, експлоатација је тривијална Локални приступ је довољан да покрене напад, не захтевајући додатну интеракцију. Ово га чини идеалним вектором за интерне нападаче, компромитоване процесе или ситуације у којима је корисницима без администраторских привилегија дозвољено да раде. У ствари, примећене су аутоматизоване кампање које траже и искоришћавају системе који још нису ажурирани, посебно након објављивања јавних алата и експлоита.
Одговор индустрије и новости
Грешку је пријавио и исправио почетком 2023. године Миклош Шереди., кључни програмер Линуксовог језгра, путем наменске измене (ИД: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Закрпа пооштрава проверу корисника и група током операција копирања, спречавајући континуитет ако је мапирање UID-а или GID-а неважеће у тренутном именском простору. Ово је намењено осигуравању конзистентности са POSIX ACL-овима и спречавању сценарија у којима је додељен подразумевани UID/GID 65534, који би могао бити манипулисан.
Произвођачи попут NetApp-а били су међу првима који су објавили упозорења са детаљима о погођеним производима., укључујући неколико модела контролера и производа који интегришу претходно закрпљене верзије кернела. Они потврђују да експлоатација може довести до приступа подацима, модификације информација или чак напада ускраћивања услуге (DoS). Ред Хет и други произвођачи су такође почели са ажурирањем да се реши ова рањивост.
Препоруке и хитне мере за заштиту од ове рањивости
Америчка агенција за сајбер безбедност и безбедност инфраструктуре (CISA) додала је CVE-2023-0386 у свој каталог искоришћених рањивости и захтева од америчких савезних агенција да ажурирају до 8. јула 2025. За све остале организације и кориснике, препорука је јасна:
- Надоградите на Линукс кернел 6.2-rc6 или новији да бисте били сигурни да је грешка исправљена.
- Пратите системе због аномалног понашања привилегија, посебно у окружењима са контејнерима, вишеструким корисницима или критичном инфраструктуром.
- У окружењима где се закрпа не може одмах применити, препоручује се привремено онемогућавање OverlayFS-а или што је више могуће ограничавање локалног приступа корисницима који нису администратори.
- Консултујте званична обавештења и каталоге (CISA-ин KEV) и третирајте рањивост као приоритет.
Додељени вектор напада одговара CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, што одражава висок потенцијални утицај на поверљивост, интегритет и доступност ако се успешно искористи.
Ова рањивост наглашава важност сталног ажурирања и праћења Linux система, посебно у пословним окружењима или онима која рукују осетљивим подацима. Иако експлоатација захтева локални приступ, постојање јавних PoC-ова и аутоматизованих напада повећава хитност што бржег отклањања свих рањивих инстанци. Ескалација привилегија на root у овим околностима може довести до губитка потпуне контроле над инфраструктуром.
