En sårbarhet er identifisert i Linux-kjernen i implementeringen av OverlayFS-filsystemet (CVE-2023-0386), som kan brukes til å få rottilgang på systemer som har FUSE-delsystemet installert og tillater montering av OverlayFS-partisjoner av en uprivilegert bruker (starter med Linux 5.11-kjernen med inkludering av uprivilegert brukernavneområde). Problemet er løst i 6.2-kjernegrenen. Publisering av pakkeoppdateringer i distribusjoner kan spores på sidene: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
Angrepet utføres ved å kopiere filer med setgid/setuid-flagg fra en partisjon montert i nosuid-modus til en OverlayFS-partisjon som har et lag knyttet til partisjonen som lar suid-filer kjøre. Sårbarheten ligner på CVE-2021-3847-problemet identifisert i 2021, men skiller seg i lavere utnyttelseskrav - det gamle problemet krevde manipulering av xattrs, som er begrenset til å bruke brukernavnerom (brukernavneområde), og det nye problemet bruker bits setgid /setuid som ikke er spesifikt håndtert i brukernavneområdet.
Angrepsalgoritme:
- Ved hjelp av FUSE-undersystemet monteres et filsystem, der det er en kjørbar fil som eies av root-brukeren med setuid / setgid-flaggene, tilgjengelig for alle brukere for skriving. Ved montering setter FUSE modusen til "nosuid".
- Fjern deling av brukernavneområder og monteringspunkter (bruker/monter navneområde).
- OverlayFS er montert med FS tidligere opprettet i FUSE som bunnlag og topplag basert på den skrivbare katalogen. Topplagskatalogen må være plassert i et filsystem som ikke bruker "nosuid"-flagget når det er montert.
- For en suid-fil i FUSE-partisjonen endrer berøringsverktøyet endringstiden, noe som fører til at den kopieres til det øverste laget av OverlayFS.
- Ved kopiering fjerner ikke kjernen setgid/setuid-flaggene, noe som fører til at filen vises på en partisjon som kan behandles av setgid/setuid.
- For å få rotrettigheter er det nok å kjøre filen med setgid/setuid-flaggene fra katalogen knyttet til det øverste laget av OverlayFS.
I tillegg kan vi legge merke til at forskere fra Google Project Zero-teamet avslører informasjon om tre sårbarheter som ble fikset i hovedgrenen til Linux 5.15-kjernen, men som ikke ble portert til kjernepakker fra RHEL 8.x/9.x og CentOS Stream 9.
- CVE-2023-1252 - Få tilgang til et allerede frigjort minneområde i ovl_aio_req-strukturen mens du utfører flere operasjoner samtidig i OverlayFS distribuert på toppen av Ext4-filsystemet. Potensielt lar sårbarheten deg øke privilegiene dine i systemet.
- CVE-2023-0590 - Refererer til et allerede frigjort minneområde i qdisc_graft()-funksjonen. Operasjonen antas å være begrenset til abort.
- CVE-2023-1249 - Tilgang til allerede frigjort minneområde i coredump-oppføringskode på grunn av manglende mmap_lock-anrop i file_files_note. Operasjonen antas å være begrenset til abort.
Kilde: opennet.ru