CISA предупреждает об активной эксплуатации уязвимости повышения привилегий в ядре Linux (CVE‑2023‑0386)

18 июня 2025 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило критическую уязвимость в ядре Linux CVE‑2023‑0386 в свой каталог известных уязвимостей (KEV).

Эта уязвимость, обнаруженная в подсистеме OverlayFS, в настоящее время активно используется в дикой природе и позволяет локально повысить привилегии до уровня root. Это особенно тревожно, учитывая недавние атаки, такие как ботнет PumaBot SSH, который использует аналогичные векторы атак для получения несанкционированного доступа.

Технический Обзор

• CVE‑2023‑0386 имеет рейтинг CVSS 7,8 и затрагивает реализацию OverlayFS в ядре Linux.
• Уязвимость возникает из-за неправильной проверки разрешений при копировании файлов между различными точками монтирования в OverlayFS. В частности, если копируется файл с битом setuid, ядро может неправильно проверить владельца (UID/GID), что позволяет злоумышленнику создать двоичный файл с битом setuid. Обеспечение безопасности прав доступа к файлам, аналогичное ограничению пользователей только доступом по FTP, может помочь сократить количество уязвимостей.
• Локальный злоумышленник может воспользоваться этим, чтобы получить права суперпользователя в уязвимой системе.
• Уязвимость была устранена в 2023 году, но CISA только недавно зафиксировала и подтвердила её использование в дикой природе.

Консультация CISA и крайний срок

Федеральные агентства, входящие в состав Федеральной гражданской исполнительной власти (FCEB), должны установить исправления для всех затронутых систем к 8 июля 2025 года. CISA настоятельно рекомендует организациям частного сектора в первую очередь установить исправления и включить CVE‑2023‑0386 в свои программы управления уязвимостями.

Более широкий Контекст

• CVE‑2023‑0386 является частью более крупного набора уязвимостей, затрагивающих OverlayFS. Другие уязвимости, такие как CVE‑2023‑32629 и CVE‑2023‑2640, аналогичным образом позволяют повысить привилегии в системах Ubuntu.
• Хотя эти уязвимости требуют локального доступа, они представляют серьёзную опасность в общих или облачных средах, где злоумышленники могут уже иметь ограниченные учётные записи пользователей.
• Для аналогичных уязвимостей существует общедоступный код для проверки концепции (PoC), что повышает риск широкого распространения злоупотреблений.

Рекомендуемые Действия

• Установите доступные обновления, чтобы предотвратить взлом на уровне root со стороны локальных пользователей.
• Проверяйте и контролируйте системы для выявления признаков попыток повышения привилегий.
• Упростите использование OverlayFS, ограничив доступ в контейнерах или общих настройках.

Выводы

Несмотря на то, что эта уязвимость была обнаружена и устранена в 2023 году, тот факт, что она по-прежнему активно используется, подчёркивает важность своевременного управления исправлениями. Администраторы Linux, особенно те, кто управляет облачными рабочими нагрузками или многопользовательскими системами, должны серьёзно отнестись к этой угрозе и как можно скорее выполнить обновление.

Редактор: Анастасия Богатырчук