GameOver(lay) засяга 40% от облачните натоварвания на Ubuntu
наскоро Изследователите на Wiz Research публикуваха информация за откриването на две уязвимости в Пакетите на ядрото на Linux, предоставени от Ubuntu причинени от специфични за Ubuntu корекции в изпълнението на модула OverlayFS.
По отношение на уязвимостите, открити и наречени „GameOver(lay)“ (и каталогизирани под CVE-2023-2640 и CVE-2023-32629), се споменава, че тези ви позволяват да повишите привилегиите в системата и според изследователите, идентифицирали проблемите, те могат да се използват при около 40% от инсталациите на Ubuntu.
CVE-2023-2640 и CVE-2023-32629 бяха намерени в модула OverlayFS в Ubuntu, който е широко използвана файлова система на Linux, която стана много популярна с нарастването на контейнерите, тъй като нейните функции позволяват внедряването на динамични файлови системи, базирани на предварително изградени системи.
Относно първата уязвимост (CVE-2023-2640) се споменава, че е причинен от специфична за Ubuntu промяна, добавена към модула OverlayFS през 2018 г., който прилага функции за задаване и премахване на отделни разширени файлови атрибути без проверка на разрешенията. Тъй като изпълнението на тази функция изисква предварително заключване на inode, се предполага, че извикващият функцията вече има необходимите привилегии за работа на ниско ниво с файловата система.
Първоначално, тази промяна се прилага само за атрибутите на повикване и е безвредна. Но през 2022 г. добави корекция към основната реализация на OverlayFS в ядрото на Linux, което е в конфликт със специфичните за Ubuntu корекции, след което проверката е деактивирана за всички разширени атрибути. Чрез манипулиране на потребителските пространства от имена непривилегирован потребител може да монтира OverlayFS и задайте разширени атрибути на файлове в монтираната файлова система, което води до предаване на тези атрибути на файлове в горния слой на OverlayFS.
Двете уязвимости са уникални за Ubuntu, тъй като Ubuntu въведе няколко промени в модула OverlayFS през 2018 г. Тези промени не представляваха риск по това време. През 2020 г. беше открита и коригирана уязвимост на сигурността в ядрото на Linux; въпреки това, поради модификации на Ubuntu, допълнителен уязвим поток в Ubuntu никога не е бил коригиран. Това показва сложната връзка между ядрото на Linux и изданията за разпространение, тъй като и двете актуализират ядрото за различни случаи на употреба.
Втората уязвимост CVE-2023-32629 също се дължи на липсващи проверки на подходящи разрешения. Тъй като се споменава като случай на първата уязвимост, корекцията, първоначално създадена за Ubuntu, не доведе до уязвимостта и проблемът се появи едва след промяна в основната реализация на OverlayFS, направена през 2019 г.
И това е, че при монтиране на OverlayFS с metacopy=on, Linux не копира целия файл, ако са променени само метаданните на файла. Вместо това, той копира само метаданните, които включват файлови възможности, позволявайки напълно функционално подготвен изпълним файл да бъде поставен извън потребителското пространство.
Заслужава да се отбележи, че се посочва, че за използване на идентифицирани уязвимости могат да се използват вече налични работещи експлойти в публичното пространство, създаден за горната уязвимост в модула OverlayFS. За да се извърши атака, е необходимо непривилегирован потребител да позволи на системата да монтира OverlayFS дялове.
За корекции на уязвимостите, се споменава, че те вече са внедрени малко преди разкриването им. Уязвимостите засягат различни поддържани версии на Ubuntu и са коригирани в актуализации, пуснати на 26 юли.
Що се отнася до заобиколното решение за блокиране на уязвимостите, се споменава, че просто деактивирането на възможността непривилегированите потребители да създават пространства от имена на потребителски идентификатори е достатъчно. Можете да направите това, като изпълните следните команди:
sudo sysctl -w kernel.unprivileged_userns_clone=0 echo kernel.unprivileged_userns_clone=0 | \ sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf
Накрая ако се интересувате да научите повече за това, каня ви да посетите оригиналната статия, публикувана от Wiz Research, като посетите техния блог на адрес следваща връзка.