18/06/25
Американское агентство по кибербезопасности и защите критической инфраструктуры (CISA) официально внесло в реестр активно эксплуатируемых уязвимостей (KEV) опасный сбой в ядре Linux — CVE-2023-0386. В последние месяцы она начала использоваться в атаках на реальные системы, несмотря на то что патч был выпущен ещё в начале 2023 года.
Проблема кроется в подсистеме OverlayFS — механизме, применяемом для объединения нескольких файловых пространств, особенно часто используемом в контейнерах и Live-средах, пишет Securitylab. Суть уязвимости заключается в некорректной обработке прав доступа при копировании исполняемого файла с дополнительными возможностями из одного монтированного тома в другой. Ядро не проверяло, соответствует ли идентификатор пользователя текущему пространству имён, что позволяло неквалифицированному пользователю незаметно внедрить SUID-бинарник, исполняемый от имени root.
Исследование компании Datadog, опубликованное в мае прошлого года, показало, что эксплойт реализуется элементарно. Метод атаки предполагает создание исполняемого файла с флагом SUID в директории вроде /tmp, что даёт злоумышленнику полномочия суперпользователя без необходимости обойти какие-либо другие уровни защиты. Простота реализации делает эту брешь особенно привлекательной для автоматизированных эксплойт-наборов.
Хотя уязвимость была исправлена довольно быстро, спустя год CISA подтвердила: вредоносные группы начали активно использовать её в реальных атаках. Детали того, в каких сценариях применяется эксплойт, пока не раскрываются, но сам факт добавления в KEV означает, что речь идёт не о теоретической угрозе, а о текущей активности в дикой среде.
Уязвимость затрагивает ключевую для безопасности часть Linux — пространства имён, через которые осуществляется изоляция процессов и пользователей. Ошибка позволяет без надлежащей проверки перенести привилегированный исполняемый файл из нижнего слоя OverlayFS в верхний, тем самым получив возможность выполнить его с правами администратора. Такой обходной путь особенно опасен в многопользовательских системах и в средах с контейнеризацией.
Позже в 2023 году компания Wiz опубликовала отчёт о двух смежных проблемах — CVE-2023-32629 и CVE-2023-2640. Эти дефекты, объединённые под названием GameOver(lay), имели аналогичный результат: они позволяли формировать исполняемые файлы, предоставлявшие злоумышленникам доступ к корневым правам. Все три уязвимости эксплуатируют слабые места в OverlayFS, делая акцент на обход штатных механизмов контроля прав.
