Дослідники компанії Wiz, яка займається хмарною безпекою, виявили дві вразливості підвищення привілеїв у модулі Ubuntu OverlayFS, які впливають на 40% хмарних робочих навантажень Ubuntu. Про це пише Security Week.
OverlayFS – це об’єднана файлова система, яка дає змогу накладати одну файлову систему на іншу. Це дозволяє вносити зміни у файли без зміни базової файлової системи. Користувачі можуть копіювати файли з базового на верхній рівні й виконувати операції та зберігати метадані, які не повинні бути доступними в Linux.
Дослідники Wiz виявили недолік у спеціальному модулі OverlayFS, який дає змогу спеціальним виконуваним файлам підвищувати привілеї до root на ураженій машині. Можна обманом змусити ядро Ubuntu скопіювати цей файл в інше місце, надавши кожному, хто його запустить, права root.
Wiz виявила дві вразливості, які описала як GameOver(lay).
Ця помилка схожа на вразливість ядра Linux (CVE-2021-3493), виявлену у 2021 році. Ubuntu у 2018 році модифікувала власне ядро. Вказані зміни дали змогу запровадити власні заходи для виправлення вразливості. Однак усунути основну вразливість у модулі OverlayFS не вдалося.
«Незначні зміни в ядрі Linux, внесені Ubuntu багато років тому, мають неочікувані наслідки, – пояснює Амі Люттвак, співзасновник і технічний директор Wiz. – Ми знайшли дві вразливості ескалації привілеїв, викликані цими змінами. Хто знає, скільки інших вразливостей все ще ховається в тіні спагетті-коду ядра Linux?»
Дослідники Wiz виявили дві вразливості у модулі Ubuntu OverlayFS: CVE-2023-2640 і CVE-2023-32629, разом названі GameOver(lay).
CVE-2023-2640 активується тим, що модуль OverlayFS Ubuntu не перетворює права безпеки файлів перед їх копіюванням. У результаті непривілейований користувач може створювати нову структуру каталогів і вводити нові імена користувача з можливостями адміністратора.
Потім вони можуть монтувати OverlayFS і створити файл із можливостями, які застосовуються до простору імен користувача init, ефективно підвищуючи привілеї користувача до рівня root.
Успішне використання CVE-2023-2640 призводить до генерації файлу з особливими можливостями у каталозі «upperdir», який надає привілеї, еквівалентні привілеям root, будь-кому, хто його виконує.
CVE-2023-32629 схожий на CVE-2023-2640, але впливає на інші версії ядра, а результат експлуатації виникає з іншого потоку коду. Результат же той самий: у файлу є можливості, які застосовуються до простору імен користувача init, що ефективно підвищує привілеї користувача до рівня root.
Це не перші вразливості, виявлені в OverlayFS. Раніше були знайдені CVE-2016-1576, CVE-2021-3847, CVE-2021-3493 і CVE-2023-0386.
Дослідники Wiz зазначають, що CVE-2021-3493 настільки схожий на одну з вразливостей GameOver, що «її загальнодоступний PoC наразі можна застосовувати для використання цієї вразливості».
Ubuntu усунула вразливості 24 липня 2023 року і закликає користувачів оновити свої ядра.
Раніше ми писали, що очікується випуск Debian 12 Bookworm – надійного дистрибутиву Linux і можливої альтернативи Ubuntu.