Aanvallers maken actief misbruik van een kwetsbaarheid in de Linux-kernel waardoor een niet-geprivilegeerde lokale gebruiker rootrechten kan krijgen

[Captain Kirk]

Aanvallers maken actief misbruik van een kwetsbaarheid in de Linux-kernel waardoor een niet-geprivilegeerde lokale gebruiker rootrechten kan krijgen. Dat laat het Amerikaanse cyberagentschap CISA weten. Het beveiligingslek (CVE-2023-0386) is sinds maart 2023 bekend. Het probleem betreft de overlayFS-implementatie in de Linux-kernel. OverlayFS is een union mount filesystem implementatie voor Linux. Het maakt het mogelijk om directory trees of filesystems te combineren.

Via de kwetsbaarheid kan een aanvaller overlayFS misbruiken zodat de kernel bestanden van een mount van de aanvaller naar normale directories kopieert. Een aanvaller zou zo een SUID bestand van een speciaal geprepareerde FUSE mount naar een normale directory kunnen kopiëren. Wanneer het bestand vanuit deze directory wordt uitgevoerd krijgt de aanvaller rootrechten, zo liet securitybedrijf Wiz eerder in een analyse weten.

Het populaire containerplatform Docker maakt bijvoorbeeld gebruik van overlayFS. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security laat nu weten dat aanvallers misbruik van CVE-2023-0386 maken of hebben gemaakt. Details over deze aanvallen zijn niet gegeven. Wel zijn Amerikaanse overheidsinstanties opgedragen om de Linux-updates voor 8 juli te installeren mocht dat nog niet zijn gedaan.

 

bron: https://www.security.nl