Pesquisadores da empresa de segurança em nuvem Wiz descobriram duas vulnerabilidades de escalonamento de privilégios facilmente exploráveis no módulo OverlayFS do Ubuntu, afetando 40% das cargas de trabalho (workloads) na nuvem do sistema operacional de código aberto.
OverlayFS é um sistema de arquivos que permite que um sistema de arquivos sobreponha outro, permitindo modificações sem alterar a base. Ele permite que os usuários copiem arquivos da base para a camada superior e executem operações e mantenham metadados que não deveriam ser possíveis no Linux.
Os pesquisadores da Wiz descobriram uma falha no módulo OverlayFS específico do Ubuntu que permite que executáveis especializados escalem privilégios para root (administrador do sistema) na máquina afetada. É possível enganar o kernel do Ubuntu para copiar este arquivo para um local diferente, dando a qualquer um que o execute privilégios de root. A Wiz encontrou duas vulnerabilidades que, juntas, a empresa descreve como GameOver(lay).
A falha tem operação semelhante a uma vulnerabilidade do kernel do Linux (CVE-2021-3493) descoberta em 2021. No entanto, o Ubuntu havia modificado anteriormente seu próprio kernel em 2018, de maneira a permitir mitigações subsequentes no kernel geral para não remover totalmente o básico do módulo OverlayFS do Ubuntu.
“Mudanças sutis no kernel do Linux introduzidas pelo Ubuntu há muitos anos têm implicações imprevistas”, explicou Ami Luttwak, cofundador e CTO da Wiz. “Encontramos duas vulnerabilidades de escalonamento de privilégios causadas por essas mudanças e quem sabe quantas outras ainda estão nas sombras do kernel do Linux?”
Os pesquisadores do Wiz descobriram duas vulnerabilidades no módulo Ubuntu OverlayFS: CVE-2023-2640 e CVE-2023-32629 (ambas apelidadas de GameOver(lay)).
O CVE-2023-2640 está ativado porque o módulo Ubuntu OverlayFS não converte os recursos de segurança de arquivo antes que sejam copiados. Como resultado, um usuário sem privilégios pode criar uma nova estrutura de diretório e inserir um novo namespace de usuário com privilégios administrativos. Eles podem então montar OverlayFS, criando finalmente um arquivo com recursos aplicáveis ao namespace de usuário e escalando efetivamente os privilégios do usuário para root.
“A exploração bem-sucedida do CVE-2023-2640 resulta na geração de um arquivo no diretório ‘upperdir’ que concede recursos equivalentes à raiz para qualquer um que o execute”, dizem os pesquisadores.
O CVE-2023-32629 é semelhante ao CVE-2023-2640, mas afeta versões ligeiramente diferentes do kernel e a exploração resulta de um fluxo de código diferente. O resultado é o mesmo. “O arquivo tem recursos aplicáveis ao namespace do usuário init”, dizem os pesquisadores, “o que efetivamente aumenta os privilégios do usuário para root.”
Essas não são as primeiras vulnerabilidades encontradas no OverlayFS. Os pesquisadores da Wiz observam que o CVE-2021-3493 é tão semelhante a uma das vulnerabilidades do GameOver (lay) que “sua PoC disponível publicamente pode ser usada atualmente para explorar essa vulnerabilidade como está”.O Ubuntu corrigiu as vulnerabilidades na segunda-feira, 24, e os usuários devem atualizar seus kernels.
FONTE: CISO ADVISOR