最近几天,美国网络安全和基础设施安全局(CISA)发布了关于积极利用 漏洞 CVE-2023-0386,在 Linux 内核中检测到。该漏洞被评为高危漏洞,已被确认为 OverlayFS 子系统内所有权权限管理中的一个缺陷。利用该漏洞,本地用户可提升权限并获得管理员访问权限,从而使任何受影响的 Linux 系统面临风险。
这个错误尤其令人担忧,因为 它影响各种各样的环境,从服务器和虚拟机到云。以及容器,甚至 Windows Linux 子系统 (WSL) 部署。在这些场景中,用户之间的权限划分至关重要,如果不应用适当的补丁,这些场景可能会受到严重损害。
CVE-2023-0386 漏洞是什么?
问题的根源 在于 OverlayFS 如何处理不同挂载点之间具有特殊功能的文件复制操作具体来说,如果用户从配置为 野菜 在另一个挂载点,内核在操作过程中未能正确移除 setuid 和 setgid 位。这为已经拥有本地访问权限的攻击者打开了以 root 权限执行文件的方便之门,从而绕过了通常的限制。
脆弱性 影响 6.2-rc6 之前的内核版本 启用了 OverlayFS 和用户命名空间的系统。Debian、Ubuntu、Red Hat 和 Amazon Linux 等广泛使用的发行版,如果尚未收到相应的更新,则均位于易受攻击的系统列表中。此外,自 2023 年 XNUMX 月以来,GitHub 上的概念验证 (PoC) 已证明该漏洞极易被利用,这导致利用尝试次数急剧增加。
关键环境中的范围和危险
CVE-2023-0386 被归类为 OverlayFS 中的属性管理漏洞 (CWE-282),并可利用该漏洞绕过多租户系统、企业甚至云平台中的用户边界。无论是在物理机、虚拟机、容器还是依赖文件共享的基础设施上,该漏洞都构成相当大的风险,因为它可以轻松提升本地权限。
根据 Datadog 和 Qualys 等安全公司的分析, 漏洞利用很简单 本地访问足以触发攻击,无需额外交互。这使得它成为内部攻击者、受感染进程或允许无管理员权限用户操作的理想载体。事实上,我们观察到自动化攻击活动会寻找并利用尚未修补的系统,尤其是在公开工具和漏洞利用程序发布之后。
行业反应和更新
该漏洞由 Miklos Szeredi 于 2023 年初报告并修复。Linux 内核的一位关键开发者,通过专门的提交 (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3) 提交了此补丁。该补丁加强了复制操作期间的用户和组检查,如果当前命名空间中的 UID 或 GID 映射无效,则会阻止连续性。此举旨在确保与 POSIX ACL 的一致性,并防止分配默认 UID/GID 65534 的情况,因为该 UID/GID 可能被操纵。
NetApp 等制造商是首批发布受影响产品详细信息公告的公司之一。,包括集成预修补内核版本的多个控制器型号和产品。他们确认,漏洞利用可能导致数据访问、信息修改,甚至拒绝服务 (DoS) 攻击。 Red Hat 和其他供应商也开始更新 来解决这个漏洞。
保护自己免受此漏洞侵害的建议和紧急措施
美国网络安全和基础设施安全局 (CISA) 已将 CVE-2023-0386 添加到其可利用漏洞目录中,并要求美国联邦机构在 8 年 2025 月 XNUMX 日之前进行更新。对于所有其他组织和用户,建议很明确:
- 升级到 Linux 内核 6.2-rc6 或更高版本以确保该错误得到修复。
- 监控系统中是否存在异常特权行为,尤其是在具有容器、多个用户或关键基础设施的环境中。
- 在无法立即应用补丁的环境中,建议暂时禁用 OverlayFS 或尽可能限制非管理用户的本地访问。
- 查阅官方通知和目录(CISA的KEV),并优先处理该漏洞。
分配的攻击向量对应于 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H反映出如果成功利用,将对机密性、完整性和可用性产生巨大影响。
此漏洞凸显了持续更新和监控 Linux 系统的重要性,尤其是在企业环境或处理敏感数据的环境中。尽管利用该漏洞需要本地访问权限,但公开的 PoC 和自动化攻击的存在,使得尽快修复任何易受攻击的实例变得更加紧迫。在这种情况下,将权限提升到 root 权限可能会导致对基础设施的完全控制权丧失。
