SicherheitsanfÀlligkeit in OverlayFS ermöglicht Privilegienausweitung

Eine SicherheitsanfÀlligkeit (CVE-2023-0386) wurde im Linux-Kernel in der Implementierung des OverlayFS-Dateisystems festgestellt. Diese kann verwendet werden, um Root-Zugriff auf Systemen zu erlangen, auf denen das FUSE-Subsystem installiert ist und das EinhÀngen von OverlayFS-Partitionen durch nicht privilegierte Benutzer erlaubt ist (seit Kernel 5.11 mit aktivierten nicht privilegierten Benutzer-Namespaces). Das Problem wurde im Kernel-Branch 6.2 behoben. Die Veröffentlichung von Paket-Updates in den Distributionen kann auf den Seiten verfolgt werden: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

Der Angriff erfolgt durch das Kopieren von Dateien mit setgid-/setuid-Flags von einem im nosuid-Modus gemounteten Partition in eine OverlayFS-Partition, die eine Schicht hat, die mit einer Partition verbunden ist, die die AusfĂŒhrung von suid-Dateien zulĂ€sst. Die SicherheitsanfĂ€lligkeit ist Ă€hnlich dem Problem CVE-2021-3847, das 2021 entdeckt wurde, hat jedoch geringere Exploitation-Anforderungen – das Ă€ltere Problem erforderte Manipulationen mit xattrs, die bei der Verwendung von Benutzer-Namespaces eingeschrĂ€nkt sind, wĂ€hrend bei dem neuen Problem die setgid-/setuid-Bits verwendet werden, die im Benutzer-Namespace speziell nicht behandelt werden.

Angriffsalgorithmus:

  • Durch das FUSE-Subsystem wird ein Dateisystem (FS) gemountet, in dem sich eine benutzereigene Root-AusfĂŒhrungsdatei mit setuid/setgid-Flags befindet, die fĂŒr alle Benutzer schreibbar ist. Beim Mounten setzt FUSE den Modus auf „nosuid“.
  • Die Benutzer- und Mount-Namespace werden aufgehoben (unshare).
  • OverlayFS wird gemountet, wobei das zuvor in FUSE erstellte FS als untere Schicht und eine beschreibbare oberste Schicht auf Basis eines Verzeichnisses verwendet wird. Das oberste Verzeichnis muss sich in einem FS befinden, bei dem der „nosuid“-Flag beim Mounten nicht gesetzt ist.
  • FĂŒr die suid-Datei im FUSE-Bereich wird durch das Tool touch die Änderungszeit geĂ€ndert, was dazu fĂŒhrt, dass sie in die obere Schicht von OverlayFS kopiert wird.
  • Beim Kopieren entfernt der Kernel nicht die setgid/setuid-Flags, was dazu fĂŒhrt, dass die Datei im Bereich erscheint, der die Verarbeitung von setgid/setuid zulĂ€sst.
  • Um root-Rechte zu erhalten, reicht es aus, die Datei mit den setgid/setuid-Flags aus dem Verzeichnis zu starten, das an die obere Schicht von OverlayFS angehĂ€ngt ist.

ZusĂ€tzlich wurde von den Forschern des Google Project Zero-Teams auf drei Schwachstellen hingewiesen, die im Hauptzweig des Linux-Kernels 5.15 behoben wurden, jedoch nicht in die Kernel-Pakete von RHEL 8.x/9.x und CentOS Stream 9 ĂŒbernommen wurden.

  • CVE-2023-1252 – Zugriff auf bereits freigegebenen Speicherbereich in der Struktur ovl_aio_req bei gleichzeitiger AusfĂŒhrung mehrerer Operationen in OverlayFS, das ĂŒber dem Ext4-Dateisystem betrieben wird. Die Schwachstelle könnte potenziell zur Erhöhung der Privilegien im System fĂŒhren.
  • CVE-2023-0590 – Zugriff auf bereits freigegebenen Speicherbereich in der Funktion qdisc_graft(). Es wird angenommen, dass die Ausnutzung auf einen Absturz beschrĂ€nkt ist.
  • CVE-2023-1249 – Zugriff auf bereits freigegebenen Speicherbereich im Coredump-Schreibcode, der durch einen verpassten mmap_lock-Aufruf in file_files_note verursacht wird. Es wird angenommen, dass die Ausnutzung auf einen Absturz beschrĂ€nkt ist.

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster