Ytimessä Linux OverlayFS-tiedostojärjestelmän toteutuksessa on tunnistettu haavoittuvuus (CVE-2023-0386), jota hyödyntämällä voidaan saada pääkäyttäjän oikeudet järjestelmissä, joissa on asennettuna FUSE-alijärjestelmä, ja sallia OverlayFS-osioiden liittäminen oikeudettoman käyttäjän toimesta (alkaen kernelin puolelta). Linux 5.11, johon on sisällytetty etuoikeudettomat käyttäjätunnukset). Ongelma korjattiin 6.2-ytimen haarassa. Pakettipäivitysten julkaisua jakeluissa voi seurata seuraavilla sivuilla: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
Hyökkäys suoritetaan kopioimalla setgid/setuid-lippuja sisältävät tiedostot nosuid-tilassa liitetystä osiosta OverlayFS-osioon, jonka taso on linkitetty suid-tiedostojen suorittamisen sallivaan osioon. Haavoittuvuus on samanlainen kuin vuonna 2021 löydetty CVE-2021-3847, mutta sen hyödyntämisvaatimukset ovat alhaisemmat. Vanha ongelma edellytti xattr-tiedostojen käsittelyä, joita rajoitetaan käyttäjänimiavaruuksia käytettäessä, kun taas uusi ongelma hyödyntää setgid/setuid-bittejä, joita ei erikseen käsitellä käyttäjänimiavaruuksissa.
Hyökkäyksen suorittamiseen käytettävä algoritmi:
- FUSE-alijärjestelmää käytetään sellaisen tiedostojärjestelmän liittämiseen, joka sisältää pääkäyttäjän omistaman suoritettavan tiedoston, jossa on setuid/setgid-määritykset ja johon kaikki käyttäjät voivat kirjoittaa. Liittämisen yhteydessä FUSE asettaa "nosuid"-tilan.
- Käyttäjä- ja liitosnimiavaruudet eivät ole jaettuja.
- Liitä OverlayFS käyttämällä aiemmin luotua FUSE-tiedostojärjestelmää alimpana kerroksena ja kirjoitettavaa hakemistoa ylimpänä kerroksena. Ylimmän kerroksen hakemiston on sijaittava tiedostojärjestelmässä, joka ei käytä "nosuid"-lippua liitettäessä.
- Touch-apuohjelma muuttaa FUSE-osiossa olevan suid-tiedoston muokkausaikaa, mikä aiheuttaa sen kopioinnin ylemmälle OverlayFS-kerrokselle.
- Kopioinnin aikana ydin ei poista setgid/setuid-lippuja, minkä seurauksena tiedosto näkyy osiossa, joka sallii setgid/setuid-käsittelyn.
- Saadaksesi pääkäyttäjän oikeudet, suorita yksinkertaisesti setgid/setuid-lippuja sisältävä tiedosto hakemistosta, joka on liitetty ylimpään OverlayFS-kerrokseen.
Lisäksi Google Project Zero -tiimin tutkijat paljastivat tietoja kolmesta haavoittuvuudesta, jotka korjattiin ytimen päähaarassa. Linux 5.15, mutta niitä ei siirretty takaisin ydinpaketteihin RHEL 8.x/9.x:stä ja CentOS Striimi 9.
- CVE-2023-1252 – Aiemmin vapautetun muistialueen käyttäminen ovl_aio_req-rakenteessa useiden samanaikaisten toimintojen aikana OverlayFS:ssä, joka on asennettu Ext4:n päälle. Tämä haavoittuvuus voi mahdollistaa käyttöoikeuksien laajentamisen.
- CVE-2023-0590 — Pääsy aiemmin vapautettuun muistialueeseen qdisc_graft()-funktiossa. Hyödyntämisen odotetaan rajoittuvan kaatumiseen.
- CVE-2023-1249 – Viittaus aiemmin vapautettuun muistialueeseen coredump-kirjoituskoodissa johtuu mmap_lock-kutsun epäonnistumisesta file_files_note-tiedostossa. Hyökkäyksen odotetaan rajoittuvan kaatumiseen.
Lähde: opennet.ru
