Поделиться
«Дыру» в ядре Linux хакеры начали активно эксплуатировать через два года после обнаружения
CISA внесла в каталог активно эксплуатируемых - и подлежащих скорейшему исправлению - уязвимостей «баг» 2023 г.
Устранить в приоритетном порядке
Агентство по информационной безопасности и защите инфраструктуры США (CISA) внесло в список активно эксплуатируемых уязвимостей «баг» в ядре Linux, датированный 2023 г.
Уязвимость CVE-2023-0386 (7,8 балла по шкале CVSS, что соответствует высокоопасному уровню) вызвана ошибкой в подсистеме OverlayFS. Как указывается в публикации CISA (фактически дублирующей описание проблемы в Национальной базе уязвимостей), ядро Linux «содержит уязвимость, где некорректное управление принадлежности в компоненте ядра OverlayFS открывает возможность неавторизованного доступа к выполнению привилегированного файла setuid в результате того, что пользователь может копировать привилегированный файл из раздела nosuid в другой раздел».
Следствием становится возможность повышения привилегий.
Публичной информации о том, как эта уязвимость эксплуатируется на данный момент, нет. В 2023 г, однако, компания Datadog опубликовала исследование этого «бага», в котором указывала, что эксплуатация носит тривиальный характер и что потенциальный злоумышленник может заставить ядро ОС создать исполняемый файл SUID с root-привилегиями в произвольном каталоге (например, /tmp) и запустить его.
«CVE-2023-0386 проистекает из того факта, что когда ядро копирует файл из наложенной файловой системы (OverlayFS) в более «высокоуровневый» каталог, оно не проверяет, присутствует ли в разметке именного пространства текущего пользователя тот пользователь или группа, которой данный файл принадлежит. В результате непривилегированный пользователь получает возможность несанкционированного переноса исполняемого файла SUID из «низкоуровневого» каталога в «высокоуровневый», используя OverlayFS в качестве промежуточного инструмента», - указывали исследователи.
Исправления к уязвимости были выпущены еще в том же 2023 г. Внесение уязвимости в список эксплуатируемых со стороны CISA означает предписание всем учреждениям исполнительной власти в США установить необходимые патчи до 8 июля 2025 г.
Список растет
«Как правило, эти уязвимости «заносятся» в ядро Linux вместе с новыми сторонними компонентами», - указывает Никита Павлов, эксперт по информационной безопасности компании SEQ. «То, что с момента появления информации о «тривиальности» CVE-2023-0386, и всамделишной ее эксплуатацией прошло около двух лет, может быть связано с расчетом хакеров на обнаружение наиболее слабозащищенных и плохо поддерживаемых систем, компрометация которых не потребует больших усилий. Но для того, чтобы судить об обстоятельствах эксплуатации, данных в открытом доступе недостаточно».
Это не первая уязвимость, затрагивающая ядро Linux, которую CISA вносит в свой каталог активно эксплуатируемых с начала года.
В апреле туда были внесены два «бага», выявленные в компоненте USB-audio в ядре Linux, - CVE-2024-53150 и CVE-2024-53197; обе связаны с некорректным использованием выделенных областей памяти. В марте в каталог была внесена уязвимость CVE-2024-50302, приводящая к утечке данных из ядра. В феврале туда же попала уязвимость CVE-2024-53104, связанная с возможность записи данных за пределами выделенной области памяти.
Короткая ссылка
