V jedru Linux V implementaciji datotečnega sistema OverlayFS je bila odkrita ranljivost (CVE-2023-0386), ki jo je mogoče izkoristiti za pridobitev root dostopa v sistemih, ki imajo nameščen podsistem FUSE in omogočajo namestitev particij OverlayFS s strani neprivilegiranega uporabnika (začenši z jedrom). Linux 5.11 z vključitvijo neprivilegiranih uporabniških imenskih prostorov). Težava je bila odpravljena v veji jedra 6.2. Objavo posodobitev paketov v distribucijah lahko spremljate na naslednjih straneh: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
Napad se izvede s kopiranjem datotek z zastavicami setgid/setuid iz particije, nameščene v načinu nosuid, na particijo OverlayFS s plastjo, povezano s particijo, ki omogoča izvajanje datotek suid. Ranljivost je podobna ranljivosti CVE-2021-3847, odkriti leta 2021, vendar ima nižje zahteve glede izkoriščanja. Stara težava je zahtevala manipulacijo xattrs, ki so omejeni pri uporabi uporabniških imenskih prostorov, medtem ko nova težava izkorišča bite setgid/setuid, ki niso posebej obravnavani v uporabniških imenskih prostorih.
Algoritem za izvedbo napada:
- Podsistem FUSE se uporablja za priklop datotečnega sistema, ki vsebuje izvedljivo datoteko v lasti root-a z zastavicami setuid/setgid, v katero lahko pišejo vsi uporabniki. Pri priklopu FUSE nastavi način »nosuid«.
- Uporabniški in priklopni imenski prostori niso v skupni rabi.
- Datotečni sistem OverlayFS priklopite z uporabo predhodno ustvarjenega datotečnega sistema FUSE kot spodnje plasti in imenika, v katerega je mogoče pisati, kot zgornje plasti. Imenik zgornje plasti mora biti v datotečnem sistemu, ki pri priklopu ne uporablja zastavice »nosuid«.
- Pripomoček touch spremeni čas spremembe datoteke SUID v particiji FUSE, zaradi česar se ta kopira na zgornjo plast OverlayFS.
- Pri kopiranju jedro ne odstrani zastavic setgid/setuid, zaradi česar se datoteka pojavi na particiji, ki omogoča rokovanje s setgid/setuid.
- Za pridobitev root pravic preprosto zaženite datoteko z zastavicami setgid/setuid iz imenika, ki je pripet na najvišjo plast OverlayFS.
Poleg tega so raziskovalci iz ekipe Google Project Zero razkrili informacije o treh ranljivostih, ki so bile odpravljene v glavni veji jedra. Linux 5.15, vendar niso bili preneseni nazaj v pakete jedra iz RHEL 8.x/9.x in CentOS Tok 9.
- CVE-2023-1252 – Dostop do predhodno sproščenega pomnilniškega območja v strukturi ovl_aio_req med več sočasnimi operacijami v OverlayFS, nameščenem na vrhu Ext4. Ta ranljivost potencialno omogoča eskalacijo privilegijev.
- CVE-2023-0590 — Dostop do predhodno sproščenega pomnilniškega območja v funkciji qdisc_graft(). Pričakuje se, da bo izkoriščanje omejeno na sesutje sistema.
- CVE-2023-1249 – Zaradi zgrešenega klica mmap_lock v file_files_note se v kodi za pisanje izpisa osrednjega pomnilnika pojavi sklicevanje na predhodno sproščeno pomnilniško regijo. Pričakuje se, da bo izkoriščanje omejeno na zrušitev.
Vir: opennet.ru
