A GameOver(lay) az Ubuntu felhőalapú munkaterheléseinek 40%-át érinti
nemrég A Wiz Research kutatói kiadtak információkat a felfedezése két sebezhetőség van benne Linux kernel csomagokat szállított Ubuntu az OverlayFS modul megvalósításában található Ubuntu-specifikus javítások okozzák.
A felfedezett és "GameOver(lay)" néven elnevezett (és a CVE-2023-2640 és CVE-2023-32629 alatt katalógusba vett) sebezhetőségekkel kapcsolatban megemlítjük, hogy ezek lehetővé teszi a rendszer jogosultságainak emelését és a problémákat azonosító kutatók szerint az Ubuntu telepítések mintegy 40%-án kiaknázhatók.
A CVE-2023-2640 és a CVE-2023-32629 az Ubuntu OverlayFS moduljában található, amely egy széles körben használt Linux fájlrendszer, amely a konténerek térnyerésével nagyon népszerűvé vált, mivel funkciói lehetővé teszik a dinamikus fájlrendszerek megvalósítását. előre kiépített rendszerek.
Az első sebezhetőségről (CVE-2023-2640) az OverlayFS modulhoz hozzáadott Ubuntu-specifikus változás okozta. 2018-ban, amely funkciókat valósít meg az egyes kiterjesztett fájlattribútumok beállítására és eltávolítására az engedélyek ellenőrzése nélkül. Mivel ennek a függvénynek a végrehajtása előzetes inode zárolást igényel, feltételeztük, hogy a függvény hívója már rendelkezik a szükséges jogosultságokkal a fájlrendszerrel való alacsony szintű munkához.
kezdetben ez a változás csak a hívási attribútumokra vonatkozott, és ártalmatlan volt. De 2022-ben javítást adott a fő megvalósításhoz Az OverlayFS a Linux kernelben, amely ütközött az Ubuntu-specifikus javításokkal, ami után az ellenőrzést az összes kiterjesztett attribútumra letiltották. A felhasználói névterek manipulálásával egy jogosultság nélküli felhasználó csatlakoztathatja az OverlayFS-t és kiterjesztett attribútumokat állítson be a csatolt fájlrendszerben lévő fájlokhoz, így ezek az attribútumok átadásra kerülnek az OverlayFS legfelső rétegében lévő fájlokhoz.
A két sebezhetőség az Ubuntu sajátossága, mivel az Ubuntu 2018-ban számos változtatást vezetett be az OverlayFS modulban. Ezek a változtatások akkoriban nem jelentettek kockázatot. 2020-ban egy biztonsági rést fedeztek fel a Linux kernelben, és azt kijavították; azonban az Ubuntu módosításai miatt az Ubuntu további sebezhető adatfolyamát soha nem javították ki. Ez mutatja a Linux kernel és a disztribúciós kiadások közötti összetett kapcsolatot, mivel mindkettő frissíti a kernelt a különböző használati esetekhez.
A második sebezhetőség A CVE-2023-32629 hiányzó ellenőrzések miatt is megfelelő engedélyekkel. Mivel az első sérülékenység eseteként említik, az eredetileg Ubuntu számára készült javítás nem vezetett a sérülékenységhez, és a probléma csak a fő OverlayFS-megvalósítás 2019-ben történt megváltoztatása után jelentkezett.
És ez az OverlayFS csatlakoztatásakor metacopy=on, a Linux nem másolja a teljes fájlt, ha csak a fájl metaadatai változtak. Ehelyett csak a metaadatokat másolja, amelyek fájlképességeket is tartalmaznak, lehetővé téve egy teljesen működőképes előkészített végrehajtható fájl elhelyezését a felhasználói területen kívül.
Érdemes megemlíteni, hogy ki van írva, hogy Az azonosított sérülékenységek kihasználásához a már elérhető, működő exploitokat is fel lehet használni nyilvános tartományban, az OverlayFS modul fenti sérüléséhez készült. Támadás végrehajtásához egy nem jogosult felhasználónak engedélyeznie kell a rendszer számára OverlayFS partíciók csatlakoztatását.
Valamivel kapcsolatban a sérülékenységek javítását, megemlítik, hogy ezeket már végrehajtották röviddel a nyilvánosságra hozataluk előtt. A sérülékenységek az Ubuntu különböző támogatott verzióit érintik, és a július 26-án kiadott frissítések javítják.
Ami a sebezhetőségek blokkolásának megoldását illeti, megemlítik, hogy elegendő egyszerűen letiltani a nem privilegizált felhasználók felhasználói azonosító-névterek létrehozásának lehetőségét. Ezt a következő parancsok futtatásával teheti meg:
sudo sysctl -w kernel.unprivileged_userns_clone=0 echo kernel.unprivileged_userns_clone=0 | \ sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf
Végül ha érdekel, hogy többet tudjon meg rólaMeghívom Önt, hogy látogassa meg a Wiz Research által közzétett eredeti cikket, és keresse fel blogjukat a címen következő link.