В последние дни Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило срочное предупреждение об активной эксплуатации уязвимость CVE-2023-0386, обнаруженная в ядре Linux. Эта уязвимость, оцененная как высокая степень серьезности, была определена как недостаток в управлении разрешениями на владение в подсистеме OverlayFS. Эксплуатация позволяет локальным пользователям повышать привилегии и получать права администратора, подвергая риску любую уязвимую систему Linux.
Эта ошибка особенно тревожна, потому что Он затрагивает самые разные среды: от серверов и виртуальных машин до облака., к контейнерам и даже развертываниям подсистемы Windows для Linux (WSL). Эти типы сценариев, где сегментация привилегий между пользователями имеет решающее значение, могут быть серьезно скомпрометированы, если не будут применены соответствующие исправления.
Что такое уязвимость CVE-2023-0386?
Происхождение проблемы заключается в том, как OverlayFS обрабатывает операции копирования файлов со специальными возможностями между различными точками монтирования. В частности, если пользователь копирует файл с повышенными правами доступа из монтирования, настроенного как без жидкости к другому монтированию, ядро не удаляет биты setuid и setgid должным образом во время операции. Это открывает дверь для злоумышленника, который уже имеет локальный доступ, чтобы выполнять файлы с правами root, обходя обычные ограничения.
Уязвимость влияет на версии ядра до 6.2-rc6 с включенными OverlayFS и пользовательскими пространствами имен. Широко используемые дистрибутивы, такие как Debian, Ubuntu, Red Hat и Amazon Linux, попадают в список уязвимых систем, если они не получили соответствующее обновление. Кроме того, легкость, с которой уязвимость может быть использована, была продемонстрирована публикацией доказательств концепции (PoC) на GitHub с мая 2023 года, что привело к резкому увеличению попыток эксплуатации.
Масштаб и опасности в критических средах
CVE-2023-0386 была классифицирована как уязвимость управления имуществом (CWE-282) в OverlayFS., и может быть использована для обхода границ пользователей в многопользовательских системах, предприятиях или даже облачных платформах. Будь то на физических или виртуальных машинах, контейнерах или инфраструктурах, которые полагаются на обмен файлами, уязвимость представляет значительный риск из-за легкости, с которой она может повышать локальные привилегии.
По данным нескольких анализов, проведенных такими компаниями по безопасности, как Datadog и Qualys, эксплуатация тривиальна Локального доступа достаточно для запуска атаки, не требуя дополнительного взаимодействия. Это делает его идеальным вектором для внутренних злоумышленников, скомпрометированных процессов или ситуаций, когда разрешено работать пользователям без административных привилегий. Фактически, были замечены автоматизированные кампании, которые ищут и эксплуатируют системы, которые еще не были исправлены, особенно после выпуска общедоступных инструментов и эксплойтов.
Реакция отрасли и обновления
Ошибка была обнаружена и исправлена в начале 2023 года Миклошем Середи., ключевой разработчик ядра Linux, через специальный коммит (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Патч ужесточает проверку пользователей и групп во время операций копирования, предотвращая непрерывность, если сопоставление UID или GID недействительно в текущем пространстве имен. Это призвано обеспечить согласованность с ACL POSIX и предотвратить сценарии, в которых был назначен UID/GID по умолчанию 65534, который мог быть изменен.
Такие производители, как NetApp, были одними из первых, кто опубликовал рекомендации с подробным описанием затронутых продуктов., включая несколько моделей контроллеров и продуктов, которые интегрируют предварительно исправленные версии ядра. Они подтверждают, что эксплуатация может привести к доступу к данным, изменению информации или даже атакам типа «отказ в обслуживании» (DoS). Red Hat и другие поставщики также начали обновление для устранения этой уязвимости.
Рекомендации и срочные меры по защите от этой уязвимости
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) добавило CVE-2023-0386 в свой каталог эксплуатируемых уязвимостей и требует от федеральных агентств США обновить его до 8 июля 2025 года. Для всех остальных организаций и пользователей рекомендация ясна:
- Обновите ядро Linux до версии 6.2-rc6 или выше, чтобы убедиться, что ошибка исправлена.
- Контролируйте системы на предмет аномального поведения привилегий, особенно в средах с контейнерами, несколькими пользователями или критической инфраструктурой.
- В средах, где исправление невозможно применить немедленно, рекомендуется временно отключить OverlayFS или максимально ограничить локальный доступ для пользователей, не являющихся администраторами.
- Ознакомьтесь с официальными уведомлениями и каталогами (KEV CISA) и отнеситесь к уязвимости как к приоритетной задаче.
Назначенный вектор атаки соответствует CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, что отражает высокое потенциальное влияние на конфиденциальность, целостность и доступность в случае успешной эксплуатации.
Эта уязвимость подчеркивает важность постоянного обновления и мониторинга систем Linux, особенно в корпоративных средах или тех, которые обрабатывают конфиденциальные данные. Хотя эксплуатация требует локального доступа, существование публичных PoC и автоматизированных атак повышает срочность устранения любых уязвимых случаев как можно быстрее. Повышение привилегий до root в таких обстоятельствах может привести к потере полного контроля над инфраструктурой.
