Linux-ytimessä on havaittu haavoittuvuus OverlayFS-tiedostojärjestelmän (CVE-2023-0386) toteutuksessa, jota voidaan käyttää pääkäyttäjän oikeuksien hankkimiseen järjestelmissä, joihin on asennettu FUSE-alijärjestelmä ja jotka sallivat OverlayFS-osioiden liittämisen etuoikeutetulle käyttäjälle. käyttäjä (alkaen Linux 5.11 -ytimestä, joka sisältää etuoikeutettoman käyttäjän nimiavaruuden). Ongelma on korjattu 6.2-ytimen haarassa. Pakettipäivitysten julkaisemista jakeluissa voi seurata sivuilta: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
Hyökkäys suoritetaan kopioimalla tiedostot setgid/setuid-lipuilla nosuid-tilassa asennetusta osiosta OverlayFS-osioon, jossa on osioon liittyvä kerros, joka sallii suid-tiedostojen suorittamisen. Haavoittuvuus on samanlainen kuin vuonna 2021 tunnistettu CVE-3847-2021-ongelma, mutta eroaa alhaisemmista hyödyntämisvaatimuksista – vanha ongelma vaati manipulointia xattrsilla, jotka rajoittuvat käyttäjän nimiavaruuksien käyttöön (käyttäjänimiavaruus), ja uusi ongelma käyttää bittejä setgid. /setuid, joita ei erityisesti käsitellä käyttäjän nimiavaruudessa.
Hyökkäysalgoritmi:
- FUSE-alijärjestelmän avulla asennetaan tiedostojärjestelmä, jossa on root-käyttäjän omistama suoritettava tiedosto setuid / setgid -lippujen kanssa, joka on kaikkien käyttäjien kirjoitettavissa. Asennettaessa FUSE asettaa tilaksi "nosuid".
- Poista käyttäjien nimiavaruuksien ja liitospisteiden jakaminen (käyttäjän/liitoksen nimiavaruus).
- OverlayFS on asennettu FUSE:ssa aiemmin luodun FS:n pohjakerroksena ja yläkerroksena kirjoitettavan hakemiston perusteella. Ylimmän kerroksen hakemiston on sijaittava tiedostojärjestelmässä, joka ei käytä "nosuid"-lippua asennettuna.
- FUSE-osion suid-tiedoston kohdalla kosketusapuohjelma muuttaa muokkausaikaa, mikä johtaa sen kopioimiseen OverlayFS:n ylimmälle tasolle.
- Kopioinnissa ydin ei poista setgid/setuid-lippuja, mikä saa tiedoston näkyviin osioon, jota setgid/setuid voi käsitellä.
- Pääkäyttäjän oikeuksien saamiseksi riittää, että suoritat tiedoston setgid/setuid-lippujen kanssa OverlayFS:n ylimpään kerrokseen liitetystä hakemistosta.
Lisäksi voimme huomioida, että Google Project Zero -tiimin tutkijat ovat paljastaneet tietoja kolmesta haavoittuvuudesta, jotka korjattiin Linux 5.15 -ytimen päähaarassa, mutta joita ei siirretty ydinpaketteihin RHEL 8.x/9.x -versiosta ja CentOS Stream 9.
- CVE-2023-1252 - Pääsy jo vapautettuun muistialueeseen ovl_aio_req-rakenteessa ja suorittaa useita toimintoja samanaikaisesti Ext4-tiedostojärjestelmän päälle asennetussa OverlayFS:ssä. Mahdollisesti haavoittuvuus antaa sinun lisätä oikeuksiasi järjestelmässä.
- CVE-2023-0590 - Viittaa jo vapautettuun muistialueeseen qdisc_graft()-funktiossa. Toiminnan oletetaan rajoittuvan keskeytykseen.
- CVE-2023-1249 - Pääsy jo vapautettuun muistialueeseen coredump-syöttökoodissa, koska tiedostossa file_files_note puuttuu mmap_lock-kutsu. Toiminnan oletetaan rajoittuvan keskeytykseen.
Lähde: opennet.ru