0
0
Duas vulnerabilidades na implementação do Ubuntu de um popular sistema de arquivos baseado em contêiner permitem que os invasores executem código com privilégios de root em 40% das cargas de trabalho da nuvem Ubuntu Linux, descobriram os pesquisadores.
As falhas – rastreadas como CVE-2023-2640 e CVE-2023-32629 e apelidadas de “GameOverlay” pelos pesquisadores do Wiz – são encontradas no módulo OverlayFS do Ubuntu Linux e são o resultado de alterações que o Ubuntu fez no módulo em 2018, que, na época, não representava nenhuma ameaça, revelaram pesquisadores da empresa de segurança em nuvem Wiz em um post de blog .
Ambas as vulnerabilidades são fáceis de explorar; na verdade, as explorações armadas para eles já estão disponíveis publicamente “dadas as explorações antigas para as vulnerabilidades anteriores do OverlayFS funcionam imediatamente sem nenhuma alteração”, observaram Sagi Tzadik e Shir Tamari da Wiz no post.
Segurança do kernel do Linux “espaguete”
OverlayFS é um sistema de arquivos Linux que permite a implantação de sistemas de arquivos dinâmicos com base em imagens pré-construídas, o que o tornou uma escolha popular para ambientes de nuvem baseados em contêineres executados no sistema operacional de código aberto.
O projeto do kernel do Linux modificou o módulo OverlayFS em 2019 e 2022 de maneiras que conflitavam com as alterações de 2018 do Ubuntu. Assim, quando o Ubuntu adotou as mudanças do projeto Linux, inadvertidamente criou em sua versão do SO os dois CVEs, um em 2019 (CVE-2023-32629) e outro (CVE-2023-2640) em 2022, disseram os pesquisadores.
“Ambas as vulnerabilidades são exclusivas dos kernels do Ubuntu, pois surgiram das alterações individuais do Ubuntu no módulo OverlayFS”, escreveram eles.
Além do mais, uma vez que as falhas são o resultado de mudanças sutis introduzidas pelo Ubuntu anos atrás, isso sugere que eles podem não ser os únicos problemas à espreita “nas sombras do espaguete do kernel Linux”, Wiz CTO e co-fundador Ami Luttwak observa em um e-mail para Dark Reading.
Como ocorrem os privilégios elevados do usuário
O Ubuntu corrigiu as falhas, entre várias outras, em uma atualização de segurança lançada esta semana. Ambas as falhas, descobertas por Tzadik e Tamari, fazem com que o OverlayFS em execução no Ubuntu Linux falhe ao executar verificações de permissão adequadamente em determinadas situações, permitindo que um invasor local eleve privilégios no sistema, de acordo com a atualização.
As falhas, embora separadas, criam cenários exploráveis semelhantes, mas afetam versões ligeiramente diferentes do kernel. Ambos afetam um recurso do OverlayFS que permite que o sistema de arquivos seja montado por qualquer usuário dentro de um “namespace” do usuário, o que, por sua vez, permite o mapeamento de IDs de usuários e grupos entre o host e um novo ambiente de execução separado, como em um namespace ou contêiner. Isso garante o isolamento do usuário e a separação de privilégios em implantações de nuvem baseadas em Linux.
“Quando um usuário Linux com poucos privilégios entra em um novo namespace de usuário, ele recebe automaticamente todos os recursos do Linux dentro desse namespace”, escreveram os pesquisadores. “Esses recursos permitem que eles executem algumas operações administrativas, como montar um conjunto de sistemas de arquivos”.
A exploração das falhas permite a criação de executáveis especializados que, quando executados, concedem a capacidade de escalar privilégios para “root” na máquina afetada. Um invasor pode então explorar um recurso do Linux – disponível apenas para um usuário root – chamado “recursos de arquivo” que concede privilégios elevados a executáveis enquanto eles são executados.
“Descobrimos que é possível criar um arquivo executável com recursos de arquivo com escopo e enganar o Kernel do Ubuntu para copiá-lo para um local diferente com recursos sem escopo, concedendo a qualquer um que o execute privilégios de root”, escreveram os pesquisadores.
O dilema de segurança do Linux
As vulnerabilidades destacam um problema comum para o Linux, que permaneceu de código aberto mesmo com o crescimento exponencial de sua base de distribuição, tornando-o um alvo maior para agentes de ameaças, principalmente em ambientes de nuvem. Na verdade, as versões do Ubuntu afetadas pelas falhas prevalecem na nuvem, pois servem como sistemas operacionais padrão para vários provedores de serviços em nuvem (CSPs), disseram os pesquisadores.
Embora o código aberto certamente tenha suas vantagens, ele também traz desafios. Nesse caso, como os desenvolvedores têm liberdade para atualizar a base de código do sistema operacional para atender às necessidades específicas de uma implantação, isso cria conflito com o kernel do Linux que é mantido como padrão, observaram os pesquisadores.
“Isso mostra a complexa relação entre o kernel do Linux e as versões de distro, quando ambos estão atualizando o kernel para diferentes casos de uso”, escreveram eles. “Essa complexidade introduz… riscos difíceis de prever.”
Mitigação e proteção para vulnerabilidades de nuvem do Ubuntu
Wiz recomenda que as equipes de segurança dos ambientes de nuvem baseados no Ubuntu afetados corrijam imediatamente as cargas de trabalho afetadas pelas falhas para mitigar os riscos. Eles também podem aplicar uma mitigação mais simples – ou seja, “restringir o OverlayFS apenas a usuários root”, disse Raaz Herzberg, chefe de produto, ao Dark Reading.
Ele aconselha os administradores a consultar o aviso de segurança do Ubuntu sobre cada uma das falhas – e seguir as etapas de mitigação encontradas lá. Essas instruções podem ser encontradas aqui para CVE-2023-32629 e aqui para CVE-2023-2640.
No geral, os administradores de ambientes de nuvem devem manter todos os softwares em execução em ambientes baseados em contêiner atualizados para mitigar vulnerabilidades conhecidas e garantir que tenham visibilidade de todos os seus ativos de software em toda a nuvem para se manterem atualizados, Herzberg aconselha .
Eles também devem limitar a exposição da Internet apenas aos ativos que absolutamente precisam dela para desempenhar suas funções essenciais e impor permissões estritas em todo o ambiente para limitar a superfície de ataque, acrescenta.
FONTE: DARKREADING