권한 에스컬레이션을 허용하는 OverlayFS의 취약성

Linux 커널에서는 OverlayFS 파일 시스템(CVE-2023-0386) 구현에서 취약점이 확인되었습니다. 이 취약점은 FUSE 하위 시스템이 설치된 시스템에서 루트 액세스 권한을 얻고 OverlayFS 파티션을 마운트하는 데 사용할 수 있습니다. 권한 없는 사용자(권한 없는 사용자 네임스페이스가 포함된 Linux 커널 5.11부터 시작) 이 문제는 6.2 커널 브랜치에서 수정되었습니다. 배포판의 패키지 업데이트 게시는 Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch 페이지에서 추적할 수 있습니다.

공격은 nosuid 모드로 마운트된 파티션에서 suid 파일 실행을 허용하는 파티션과 연결된 레이어가 있는 OverlayFS 파티션으로 setgid/setuid 플래그가 있는 파일을 복사하는 방식으로 수행됩니다. 이 취약점은 2021년에 확인된 CVE-3847-2021 문제에 가깝지만 악용 요구 사항이 낮습니다. 이전 문제에서는 사용자 네임스페이스를 사용할 때 제한되는 xattrs 조작이 필요했고 새 문제에서는 setgid/setuid 비트를 사용합니다. 사용자 네임스페이스에서 특별히 처리되지 않습니다.

공격 알고리즘:

• FUSE 하위 시스템을 사용하면 모든 사용자가 쓰기 위해 액세스할 수 있고 setuid/setgid 플래그가 있는 루트 사용자에 속하는 실행 파일이 있는 파일 시스템이 마운트됩니다. 마운트할 때 FUSE는 모드를 "nosuid"로 설정합니다.
• 사용자/마운트 네임스페이스는 공유되지 않습니다.
• OverlayFS가 마운트되어 FUSE에서 이전에 생성된 FS를 쓰기 가능한 디렉터리를 기반으로 하는 하위 계층과 상위 계층으로 지정합니다. 최상위 계층 디렉터리는 탑재 시 "nosuid" 플래그를 사용하지 않는 파일 시스템에 있어야 합니다.
• FUSE 파티션에 있는 suid 파일의 경우 터치 유틸리티는 수정 시간을 변경하여 OverlayFS의 최상위 레이어에 복사하게 됩니다.
• 복사할 때 커널은 setgid/setuid 플래그를 지우지 않으므로 파일이 setgid/setuid 처리를 허용하는 파티션에 나타납니다.
• 루트 권한을 얻으려면 OverlayFS의 최상위 계층에 연결된 디렉터리에서 setgid/setuid 플래그를 사용하여 파일을 실행하면 됩니다.

또한 Linux 커널 5.15의 메인 브랜치에서 수정되었지만 RHEL 8.x/9의 커널과 함께 패키지로 전송되지 않은 세 가지 취약점에 대한 정보를 Google Project Zero 팀의 연구원이 공개했다는 점에 주목할 수 있습니다. x 및 CentOS 스트림 9.

• CVE-2023-1252 – Ext4 파일 시스템 위에 배포된 OverlayFS에서 여러 작업을 동시에 수행할 때 ovl_aio_req 구조에서 이미 해제된 메모리 영역에 액세스합니다. 잠재적으로 이 취약점을 통해 시스템에서 권한을 높일 수 있습니다.
• CVE-2023-0590 - qdisc_graft() 함수에서 이미 해제된 메모리에 액세스합니다. 동작은 비정상 종료로 제한되는 것으로 간주됩니다.
• CVE-2023-1249 file_files_note의 mmap_lock 호출이 누락되어 코어 덤프 쓰기 코드에서 이미 해제된 메모리 액세스가 발생합니다. 동작은 비정상 종료로 제한되는 것으로 간주됩니다.

출처 : opennet.ru