Уязвимост в OverlayFS, позволяваща ескалация на привилегии

Беше идентифицирана уязвимост в ядрото на Linux при внедряването на файловата система OverlayFS (CVE-2023-0386), която може да се използва за получаване на root достъп на системи, които имат инсталирана подсистема FUSE и позволяват монтиране на дялове OverlayFS от непривилегирован потребител (започвайки с ядрото на Linux 5.11 с включването на пространство от имена на непривилегирован потребител). Проблемът е коригиран в клона на ядрото 6.2. Публикуването на актуализации на пакети в дистрибуции може да се проследи на страниците: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Атаката се извършва чрез копиране на файлове с флагове setgid/setuid от дял, монтиран в режим nosuid, към дял OverlayFS, който има слой, свързан с дяла, който позволява изпълнението на suid файлове. Уязвимостта е подобна на проблема CVE-2021-3847, идентифициран през 2021 г., но се различава с по-ниски изисквания за експлоатация - старият проблем изискваше манипулиране с xattrs, които са ограничени до използване на потребителски пространства от имена (потребителско пространство от имена), а новият проблем използва битове setgid /setuid, които не се обработват специално в потребителското пространство от имена.

Алгоритъм за атака:

• С помощта на подсистемата FUSE се монтира файлова система, в която има изпълним файл, собственост на root потребителя с флаговете setuid / setgid, достъпен за запис на всички потребители. При монтиране FUSE настройва режима на "nosuid".
• Прекратете споделянето на потребителски пространства от имена и точки на монтиране (потребителско/монтирано пространство от имена).
• OverlayFS се монтира с FS, създаден преди това във FUSE като долния слой и горния слой, базиран на записваемата директория. Директорията на горния слой трябва да се намира във файлова система, която не използва флага "nosuid", когато е монтирана.
• За suid файл в дяла FUSE помощната програма за докосване променя времето за модификация, което води до копирането му в горния слой на OverlayFS.
• При копиране ядрото не премахва флаговете setgid/setuid, което кара файла да се появи на дял, който може да бъде обработен от setgid/setuid.
• За да получите root права, достатъчно е да стартирате файла с флаговете setgid/setuid от директорията, прикрепена към горния слой на OverlayFS.

Освен това можем да отбележим разкриването от изследователи от екипа на Google Project Zero на информация за три уязвимости, които са коригирани в основния клон на ядрото на Linux 5.15, но не са пренесени в пакети на ядрото от RHEL 8.x/9.x и CentOS поток 9.

• CVE-2023-1252 - Достъп до вече освободена област на паметта в структурата ovl_aio_req, докато изпълнявате няколко операции едновременно в OverlayFS, разположен върху файловата система Ext4. Потенциално уязвимостта ви позволява да увеличите привилегиите си в системата.
• CVE-2023-0590 - Препратка към вече освободена област от паметта във функцията qdisc_graft(). Предполага се, че операцията е ограничена до прекъсване.
• CVE-2023-1249 - Достъп до вече освободена област от паметта в кода за въвеждане на coredump поради липсващо mmap_lock извикване във file_files_note. Предполага се, че операцията е ограничена до прекъсване.

Източник: opennet.ru