Er is een kwetsbaarheid geïdentificeerd in de Linux-kernel in de implementatie van het OverlayFS-bestandssysteem (CVE-2023-0386), dat kan worden gebruikt om root-toegang te verkrijgen op systemen waarop het FUSE-subsysteem is geïnstalleerd en waarmee OverlayFS-partities kunnen worden aangekoppeld door onbevoegden gebruiker (beginnend met de Linux 5.11-kernel met de toevoeging van niet-geprivilegieerde gebruikersnaamruimte). Het probleem is opgelost in de 6.2 kerneltak. De publicatie van pakketupdates in distributies kan worden gevolgd op de pagina's: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
De aanval wordt uitgevoerd door bestanden met setgid/setuid-vlaggen te kopiëren van een partitie die in nosuid-modus is aangekoppeld naar een OverlayFS-partitie die een laag heeft die is gekoppeld aan de partitie waardoor suid-bestanden kunnen worden uitgevoerd. Het beveiligingslek is vergelijkbaar met het CVE-2021-3847-probleem dat in 2021 werd geïdentificeerd, maar verschilt in lagere exploitatievereisten - het oude probleem vereiste manipulatie met xattrs, die beperkt zijn tot het gebruik van gebruikersnaamruimten (gebruikersnaamruimte), en het nieuwe probleem gebruikt bits setgid /setuid die niet specifiek worden afgehandeld in de gebruikersnaamruimte.
Aanvalsalgoritme:
- Met behulp van het FUSE-subsysteem wordt een bestandssysteem aangekoppeld, waarin zich een uitvoerbaar bestand bevindt dat eigendom is van de rootgebruiker met de setuid / setgid-vlaggen, beschikbaar voor alle gebruikers om te schrijven. Tijdens het monteren stelt FUSE de modus in op "nosuid".
- Delen van gebruikersnaamruimten en aankoppelpunten (gebruiker/aangekoppelde naamruimte).
- OverlayFS wordt aangekoppeld met de FS die eerder in FUSE is gemaakt als de onderste laag en de bovenste laag op basis van de beschrijfbare map. De map op de bovenste laag moet zich in een bestandssysteem bevinden dat bij het aankoppelen de vlag "nosuid" niet gebruikt.
- Voor een suid-bestand in de FUSE-partitie verandert het touch-hulpprogramma de wijzigingstijd, wat leidt tot het kopiëren naar de bovenste laag van OverlayFS.
- Bij het kopiëren verwijdert de kernel de setgid/setuid-vlaggen niet, waardoor het bestand verschijnt op een partitie die kan worden verwerkt door setgid/setuid.
- Om rootrechten te verkrijgen, volstaat het om het bestand uit te voeren met de setgid/setuid-vlaggen vanuit de map die is gekoppeld aan de bovenste laag van OverlayFS.
Bovendien kunnen we kennis nemen van de onthulling door onderzoekers van het Google Project Zero-team van informatie over drie kwetsbaarheden die zijn opgelost in de hoofdtak van de Linux 5.15-kernel, maar die niet zijn overgezet naar kernelpakketten van RHEL 8.x/9.x en CentOS Stream 9.
- CVE-2023-1252 - Toegang krijgen tot een reeds vrijgemaakt geheugengebied in de ovl_aio_req-structuur terwijl tegelijkertijd verschillende bewerkingen worden uitgevoerd in OverlayFS dat bovenop het Ext4-bestandssysteem is geïmplementeerd. Mogelijk stelt de kwetsbaarheid u in staat om uw privileges in het systeem te vergroten.
- CVE-2023-0590 - Verwijzen naar een reeds vrijgemaakt geheugengebied in de functie qdisc_graft(). Aangenomen wordt dat de operatie beperkt is tot afbreken.
- CVE-2023-1249 - Toegang tot een reeds vrijgemaakt geheugengebied in coredump-invoercode vanwege ontbrekende mmap_lock-aanroep in file_files_note. Aangenomen wordt dat de operatie beperkt is tot afbreken.
Bron: opennet.ru