En sårbarhed er blevet identificeret i Linux-kernen i implementeringen af OverlayFS-filsystemet (CVE-2023-0386), som kan bruges til at få root-adgang på systemer, der har FUSE-undersystemet installeret og tillader montering af OverlayFS-partitioner af en uprivilegeret bruger (startende med Linux 5.11-kernen med inklusion af uprivilegeret brugernavneområde). Problemet er blevet rettet i 6.2-kernegrenen. Udgivelsen af pakkeopdateringer i distributioner kan spores på siderne: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
Angrebet udføres ved at kopiere filer med setgid/setuid-flag fra en partition monteret i nosuid-tilstand til en OverlayFS-partition, der har et lag tilknyttet partitionen, der tillader suid-filer at eksekvere. Sårbarheden ligner CVE-2021-3847-problemet identificeret i 2021, men adskiller sig i lavere udnyttelseskrav - det gamle problem krævede manipulation med xattrs, som er begrænset til at bruge brugernavneområder (brugernavneområde), og det nye problem bruger bits setgid /setuid, som ikke er specifikt håndteret i brugernavnerummet.
Angrebsalgoritme:
- Ved hjælp af FUSE-undersystemet monteres et filsystem, hvori der er en eksekverbar fil, der ejes af root-brugeren med setuid / setgid flagene, tilgængelig for alle brugere til skrivning. Ved montering indstiller FUSE tilstanden til "nosuid".
- Fjern deling af brugernavneområder og monteringspunkter (bruger/monter navneområde).
- OverlayFS er monteret med den FS, der tidligere er oprettet i FUSE, som det nederste lag og det øverste lag baseret på den skrivbare mappe. Det øverste lag-bibliotek skal være placeret i et filsystem, der ikke bruger "nosuid"-flaget, når det er monteret.
- For en suid-fil i FUSE-partitionen ændrer berøringsværktøjet ændringstiden, hvilket fører til, at den kopieres til det øverste lag af OverlayFS.
- Ved kopiering fjerner kernen ikke setgid/setuid flagene, hvilket får filen til at vises på en partition, der kan behandles af setgid/setuid.
- For at opnå rodrettigheder er det nok at køre filen med setgid/setuid flagene fra mappen knyttet til det øverste lag af OverlayFS.
Derudover kan vi bemærke afsløringen af forskere fra Google Project Zero-teamet af oplysninger om tre sårbarheder, der blev rettet i hovedgrenen af Linux 5.15-kernen, men som ikke blev porteret til kernepakker fra RHEL 8.x/9.x og CentOS Stream 9.
- CVE-2023-1252 - Adgang til et allerede frigjort hukommelsesområde i ovl_aio_req-strukturen, mens du udfører flere operationer på samme tid i OverlayFS installeret oven på Ext4-filsystemet. Potentielt giver sårbarheden dig mulighed for at øge dine privilegier i systemet.
- CVE-2023-0590 - Henvisning til et allerede frigivet hukommelsesområde i qdisc_graft()-funktionen. Operation antages at være begrænset til abort.
- CVE-2023-1249 - Adgang til et allerede frigivet hukommelsesområde i coredump-indgangskode på grund af manglende mmap_lock-kald i file_files_note. Operation antages at være begrænset til abort.
Kilde: opennet.ru