In den letzten Tagen hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) eine dringende Warnung bezüglich der aktiven Ausnutzung der Verwundbarkeit CVE-2023-0386, entdeckt im Linux-Kernel. Diese als schwerwiegend eingestufte Sicherheitslücke wurde als Fehler in der Verwaltung der Eigentümerberechtigungen im OverlayFS-Subsystem identifiziert. Durch Ausnutzung dieser Sicherheitslücke können lokale Benutzer ihre Berechtigungen erweitern und Administratorzugriff erhalten, wodurch alle betroffenen Linux-Systeme gefährdet werden.
Der Fehler ist besonders beunruhigend, weil Es betrifft eine Vielzahl von Umgebungen, von Servern und virtuellen Maschinen bis hin zur Cloud., auf Container und sogar Windows Subsystem for Linux (WSL)-Bereitstellungen. Solche Szenarien, in denen die Privilegiensegmentierung zwischen Benutzern von entscheidender Bedeutung ist, können ernsthaft gefährdet sein, wenn keine entsprechenden Patches angewendet werden.
Was ist die Sicherheitslücke CVE-2023-0386?
Der Ursprung des Problems liegt darin, wie OverlayFS Dateikopiervorgänge mit speziellen Funktionen zwischen verschiedenen Einhängepunkten verarbeitet. Insbesondere, wenn ein Benutzer eine Datei mit erhöhten Berechtigungen von einem Mount kopiert, der als Nosuid Bei der Übertragung auf einen anderen Mount entfernt der Kernel die Setuid- und Setgid-Bits während des Vorgangs nicht ordnungsgemäß. Dies öffnet einem Angreifer, der bereits über lokalen Zugriff verfügt, die Möglichkeit, Dateien mit Root-Berechtigungen auszuführen und so die üblichen Einschränkungen zu umgehen.
Verletzlichkeit betrifft Kernel-Versionen vor 6.2-rc6 Die Schwachstelle ist anfällig für Systeme, die OverlayFS und Benutzernamensräume aktiviert haben. Weit verbreitete Distributionen wie Debian, Ubuntu, Red Hat und Amazon Linux stehen auf der Liste der anfälligen Systeme, sofern sie das entsprechende Update nicht erhalten haben. Wie leicht die Schwachstelle ausgenutzt werden kann, wurde zudem durch die Veröffentlichung von Proofs of Concept (PoC) auf GitHub seit Mai 2023 demonstriert, was zu einem dramatischen Anstieg der Ausnutzungsversuche geführt hat.
Umfang und Gefahren in kritischen Umgebungen
CVE-2023-0386 wurde als Schwachstelle im Property Management (CWE-282) in OverlayFS eingestuft., und kann ausgenutzt werden, um Benutzergrenzen in Multi-Tenant-Systemen, Unternehmen oder sogar Cloud-Plattformen zu umgehen. Ob auf physischen oder virtuellen Maschinen, Containern oder Infrastrukturen, die auf Dateifreigabe basieren – die Schwachstelle stellt ein erhebliches Risiko dar, da sie leicht lokale Berechtigungen erhöhen kann.
Laut mehreren Analysen von Sicherheitsfirmen wie Datadog und Qualys Ausbeutung ist trivial Lokaler Zugriff reicht aus, um den Angriff auszulösen, ohne dass zusätzliche Interaktion erforderlich ist. Dies macht ihn zu einem idealen Angriffsvektor für interne Angreifer, kompromittierte Prozesse oder Situationen, in denen Benutzer ohne Administratorrechte agieren können. Tatsächlich wurden automatisierte Kampagnen beobachtet, die Systeme ausfindig machen und ausnutzen, die noch nicht gepatcht sind, insbesondere nach der Veröffentlichung öffentlicher Tools und Exploits.
Reaktionen und Updates der Branche
Der Fehler wurde Anfang 2023 von Miklos Szeredi gemeldet und behoben., ein wichtiger Entwickler des Linux-Kernels, über ein dediziertes Commit (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Der Patch verschärft die Benutzer- und Gruppenprüfung während Kopiervorgängen und verhindert so die Kontinuität, wenn die UID- oder GID-Zuordnung im aktuellen Namespace ungültig ist. Dies soll die Konsistenz mit POSIX-ACLs gewährleisten und Szenarien verhindern, in denen die Standard-UID/GID 65534 zugewiesen wurde, die manipuliert werden könnte.
Hersteller wie NetApp gehörten zu den Ersten, die Warnhinweise mit detaillierten Angaben zu den betroffenen Produkten veröffentlichten., darunter mehrere Controller-Modelle und Produkte, die vorab gepatchte Kernel-Versionen integrieren. Sie bestätigen, dass eine Ausnutzung zu Datenzugriffen, Informationsänderungen oder sogar Denial-of-Service-Angriffen (DoS) führen kann. Red Hat und andere Anbieter haben ebenfalls mit der Aktualisierung begonnen um diese Sicherheitslücke zu beheben.
Empfehlungen und dringende Maßnahmen zum Schutz vor dieser Sicherheitslücke
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2023-0386 in ihren Katalog ausgenutzter Schwachstellen aufgenommen und fordert die US-Bundesbehörden auf, bis zum 8. Juli 2025 entsprechende Updates bereitzustellen. Für alle anderen Organisationen und Nutzer lautet die Empfehlung eindeutig:
- Aktualisieren Sie auf den Linux-Kernel 6.2-rc6 oder höher, um sicherzustellen, dass der Fehler behoben ist.
- Überwachen Sie Systeme auf anormales Berechtigungsverhalten, insbesondere in Umgebungen mit Containern, mehreren Benutzern oder kritischer Infrastruktur.
- In Umgebungen, in denen der Patch nicht sofort angewendet werden kann, wird empfohlen, OverlayFS vorübergehend zu deaktivieren oder den lokalen Zugriff für nicht administrative Benutzer so weit wie möglich einzuschränken.
- Konsultieren Sie offizielle Mitteilungen und Kataloge (KEV der CISA) und behandeln Sie die Sicherheitsanfälligkeit vorrangig.
Der zugewiesene Angriffsvektor entspricht CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, was die erheblichen potenziellen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit bei erfolgreicher Ausnutzung widerspiegelt.
Diese Schwachstelle unterstreicht, wie wichtig es ist, Linux-Systeme ständig auf dem neuesten Stand zu halten und zu überwachen, insbesondere in Unternehmensumgebungen oder bei der Verarbeitung sensibler Daten. Obwohl die Ausnutzung lokalen Zugriff erfordert, erhöhen öffentliche PoCs und automatisierte Angriffe die Dringlichkeit, anfällige Instanzen schnellstmöglich zu beheben. Die Ausweitung der Root-Rechte kann unter diesen Umständen zum vollständigen Verlust der Kontrolle über die Infrastruktur führen.
