18 июня 2025 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило критическую уязвимость в ядре Linux CVE‑2023‑0386 в свой каталог известных уязвимостей (KEV).
Эта уязвимость, обнаруженная в подсистеме OverlayFS, в настоящее время активно используется в дикой природе и позволяет локально повысить привилегии до уровня root. Это особенно тревожно, учитывая недавние атаки, такие как ботнет PumaBot SSH, который использует аналогичные векторы атак для получения несанкционированного доступа.
Технический Обзор
- CVE‑2023‑0386 имеет рейтинг CVSS 7,8 и затрагивает реализацию OverlayFS в ядре Linux.
- Уязвимость возникает из-за неправильной проверки разрешений при копировании файлов между различными точками монтирования в OverlayFS. В частности, если копируется файл с битом setuid, ядро может неправильно проверить владельца (UID/GID), что позволяет злоумышленнику создать двоичный файл с битом setuid. Обеспечение безопасности прав доступа к файлам, аналогичное ограничению пользователей только доступом по FTP, может помочь сократить количество уязвимостей.
- Локальный злоумышленник может воспользоваться этим, чтобы получить права суперпользователя в уязвимой системе.
- Уязвимость была устранена в 2023 году, но CISA только недавно зафиксировала и подтвердила её использование в дикой природе.
Консультация CISA и крайний срок
Федеральные агентства, входящие в состав Федеральной гражданской исполнительной власти (FCEB), должны установить исправления для всех затронутых систем к 8 июля 2025 года. CISA настоятельно рекомендует организациям частного сектора в первую очередь установить исправления и включить CVE‑2023‑0386 в свои программы управления уязвимостями.
Более широкий Контекст
- CVE‑2023‑0386 является частью более крупного набора уязвимостей, затрагивающих OverlayFS. Другие уязвимости, такие как CVE‑2023‑32629 и CVE‑2023‑2640, аналогичным образом позволяют повысить привилегии в системах Ubuntu.
- Хотя эти уязвимости требуют локального доступа, они представляют серьёзную опасность в общих или облачных средах, где злоумышленники могут уже иметь ограниченные учётные записи пользователей.
- Для аналогичных уязвимостей существует общедоступный код для проверки концепции (PoC), что повышает риск широкого распространения злоупотреблений.
Рекомендуемые Действия
- Установите доступные обновления, чтобы предотвратить взлом на уровне root со стороны локальных пользователей.
- Проверяйте и контролируйте системы для выявления признаков попыток повышения привилегий.
- Упростите использование OverlayFS, ограничив доступ в контейнерах или общих настройках.
Выводы
Несмотря на то, что эта уязвимость была обнаружена и устранена в 2023 году, тот факт, что она по-прежнему активно используется, подчёркивает важность своевременного управления исправлениями. Администраторы Linux, особенно те, кто управляет облачными рабочими нагрузками или многопользовательскими системами, должны серьёзно отнестись к этой угрозе и как можно скорее выполнить обновление.