Sa nakalipas na mga araw, ang US Cybersecurity and Infrastructure Security Agency (CISA) ay naglabas ng isang agarang alerto tungkol sa aktibong pagsasamantala sa kahinaan CVE-2023-0386, nakita sa Linux kernel. Ang kahinaan na ito, na na-rate bilang mataas na kalubhaan, ay natukoy bilang isang depekto sa pamamahala ng mga pahintulot sa pagmamay-ari sa loob ng OverlayFS subsystem. Ang pagsasamantala ay nagbibigay-daan sa mga lokal na gumagamit na palakihin ang mga pribilehiyo at makakuha ng access ng administrator, na inilalagay sa panganib ang anumang apektadong Linux system.
Ang pagkakamali ay lalo na nag-aalala dahil Nakakaapekto ito sa iba't ibang uri ng kapaligiran, mula sa mga server at virtual machine hanggang sa cloud., sa mga container at maging sa mga deployment ng Windows Subsystem para sa Linux (WSL). Ang mga ganitong uri ng mga sitwasyon, kung saan ang privilege segmentation sa pagitan ng mga user ay kritikal, ay maaaring seryosong makompromiso kung ang mga naaangkop na patch ay hindi ilalapat.
Ano ang kahinaan ng CVE-2023-0386?
Ang pinagmulan ng problema nakasalalay sa kung paano pinangangasiwaan ng OverlayFS ang mga operasyon ng pagkopya ng file na may mga espesyal na kakayahan sa pagitan ng iba't ibang mount point. Sa partikular, kung ang isang user ay kumopya ng isang file na may mataas na mga pahintulot mula sa isang mount na naka-configure bilang nosuid sa isa pang mount, hindi maayos na inaalis ng kernel ang setuid at setgid bits sa panahon ng operasyon. Binubuksan nito ang pinto para sa isang umaatake na mayroon nang lokal na access upang magsagawa ng mga file na may mga pahintulot sa ugat, na umiiwas sa karaniwang mga paghihigpit.
Kakayahang mangyari nakakaapekto sa mga bersyon ng kernel bago ang 6.2-rc6 na pinagana ang OverlayFS at mga namespace ng user. Ang mga malawakang ginagamit na distribusyon tulad ng Debian, Ubuntu, Red Hat, at Amazon Linux ay nasa listahan ng mga masusugatan na sistema kung hindi pa nila natatanggap ang kaukulang update. Higit pa rito, ang kadalian ng pagsasamantala ng kapintasan ay ipinakita sa paglalathala ng mga patunay ng konsepto (PoC) sa GitHub mula noong Mayo 2023, na humantong sa isang kapansin-pansing pagtaas sa mga pagtatangka sa pagsasamantala.
Saklaw at mga panganib sa mga kritikal na kapaligiran
Ang CVE-2023-0386 ay ikinategorya bilang isang kahinaan sa pamamahala ng ari-arian (CWE-282) sa OverlayFS, at maaaring samantalahin upang lampasan ang mga hangganan ng user sa mga multi-tenant system, negosyo, o kahit na cloud platform. Sa pisikal man o virtual na makina, lalagyan, o mga imprastraktura na umaasa sa pagbabahagi ng file, ang kapintasan ay nagdudulot ng malaking panganib dahil sa kadalian na maaari nitong itaas ang mga lokal na pribilehiyo.
Ayon sa ilang pagsusuri ng mga security firm gaya ng Datadog at Qualys, walang kwenta ang pagsasamantala Ang lokal na pag-access ay sapat upang ma-trigger ang pag-atake, na hindi nangangailangan ng karagdagang pakikipag-ugnayan. Ginagawa nitong isang perpektong vector para sa mga panloob na umaatake, mga nakompromisong proseso, o mga sitwasyon kung saan ang mga user na walang mga pribilehiyong pang-administratibo ay pinapayagang gumana. Sa katunayan, ang mga awtomatikong kampanya na naghahanap at nagsasamantala sa mga sistema na hindi pa nata-patch ay naobserbahan, lalo na pagkatapos ng paglabas ng mga pampublikong tool at pagsasamantala.
Tugon sa industriya at mga update
Ang bug ay iniulat at naayos noong unang bahagi ng 2023 ni Miklos Szeredi., isang pangunahing developer sa Linux kernel, sa pamamagitan ng nakalaang commit (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Ang patch ay humihigpit sa pagsusuri ng user at grupo sa panahon ng mga operasyon ng pagkopya, na pumipigil sa pagpapatuloy kung ang UID o GID mapping ay hindi wasto sa kasalukuyang namespace. Ito ay nilayon upang matiyak ang pare-pareho sa mga POSIX ACL at maiwasan ang mga sitwasyon kung saan ang default na UID/GID 65534 ay itinalaga, na maaaring manipulahin.
Ang mga tagagawa gaya ng NetApp ay kabilang sa mga unang nag-publish ng mga advisory na nagdedetalye ng mga apektadong produkto., kabilang ang ilang modelo at produkto ng controller na nagsasama ng mga pre-patched na bersyon ng kernel. Kinukumpirma nila na ang pagsasamantala ay maaaring magresulta sa pag-access ng data, pagbabago ng impormasyon, o kahit na pag-atake ng pagtanggi sa serbisyo (DoS). Nagsimula na ring mag-update ang Red Hat at iba pang mga vendor upang matugunan ang kahinaan na ito.
Mga rekomendasyon at agarang hakbang upang maprotektahan ang iyong sarili laban sa kahinaang ito
Idinagdag ng U.S. Cybersecurity and Infrastructure Security Agency (CISA) ang CVE-2023-0386 sa catalog nito ng mga pinagsasamantalahang kahinaan at hinihiling sa mga pederal na ahensya ng U.S. na mag-update bago ang Hulyo 8, 2025. Para sa lahat ng iba pang organisasyon at user, malinaw ang rekomendasyon:
- Mag-upgrade sa Linux kernel 6.2-rc6 o mas mataas para matiyak na maayos ang bug.
- Subaybayan ang mga system para sa maanomalyang pag-uugali ng pribilehiyo, lalo na sa mga kapaligiran na may mga container, maraming user, o kritikal na imprastraktura.
- Sa mga kapaligiran kung saan hindi agad mailalapat ang patch, inirerekomendang pansamantalang huwag paganahin ang OverlayFS o paghigpitan ang lokal na pag-access sa mga hindi pang-administratibong user hangga't maaari.
- Kumonsulta sa mga opisyal na paunawa at katalogo (KEV ng CISA) at ituring ang kahinaan bilang isang priyoridad.
Ang nakatalagang attack vector ay tumutugma sa CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, na sumasalamin sa mataas na potensyal na epekto sa pagiging kumpidensyal, integridad at kakayahang magamit kung matagumpay na pinagsamantalahan.
Binibigyang-diin ng kahinaang ito ang kahalagahan ng pagpapanatiling palaging na-update at sinusubaybayan ang mga Linux system, lalo na sa mga kapaligiran ng enterprise o sa mga humahawak ng sensitibong data. Bagama't ang pagsasamantala ay nangangailangan ng lokal na pag-access, ang pagkakaroon ng mga pampublikong PoC at mga automated na pag-atake ay nagpapataas ng pangangailangan ng madaliang pag-remediate ng anumang mga masusugatan na pagkakataon sa lalong madaling panahon. Ang pagtaas ng mga pribilehiyong mag-ugat sa mga sitwasyong ito ay maaaring magresulta sa pagkawala ng kumpletong kontrol sa imprastraktura.
