最近、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、 脆弱性 CVE-2023-0386Linuxカーネルで検出された脆弱性。この脆弱性は、OverlayFSサブシステムにおける所有権管理の欠陥として特定されており、重大度は「高」と評価されています。この脆弱性を悪用されると、ローカルユーザーが権限を昇格して管理者権限を取得できるようになり、影響を受けるLinuxシステムが危険にさらされる可能性があります。
このエラーが特に心配なのは、 サーバーや仮想マシンからクラウドまで、さまざまな環境に影響を及ぼします。、コンテナ、さらにはWindows Subsystem for Linux(WSL)の展開にも影響が及びます。ユーザー間の権限セグメンテーションが重要なこのようなシナリオでは、適切なパッチが適用されないと深刻なセキュリティ侵害を受ける可能性があります。
CVE-2023-0386 の脆弱性とは何ですか?
問題の原因 OverlayFSが異なるマウントポイント間で特別な機能を使用してファイルコピー操作を処理する方法にあります。具体的には、ユーザーが、次のように設定されたマウントから、権限を昇格したファイルをコピーすると、 ノスイド 別のマウントにマウントする場合、カーネルは操作中にsetuidビットとsetgidビットを適切に削除しません。これにより、既にローカルアクセス権を持つ攻撃者が通常の制限を回避し、ルート権限でファイルを実行する可能性が生じます。
脆弱性 6.2-rc6より前のカーネルバージョンに影響します OverlayFSとユーザー名前空間が有効になっているシステム。Debian、Ubuntu、Red Hat、Amazon Linuxといった広く使用されているディストリビューションは、対応するアップデートを受けていない場合、脆弱なシステムのリストに含まれています。さらに、2023年XNUMX月以降、GitHubで概念実証(PoC)が公開され、この脆弱性の悪用が容易であることが実証され、悪用試行が劇的に増加しました。
重要な環境における範囲と危険性
CVE-2023-0386は、OverlayFSのプロパティ管理の脆弱性(CWE-282)に分類されました。この脆弱性は、マルチテナントシステム、企業、さらにはクラウドプラットフォームにおいて、ユーザー境界をバイパスするために悪用される可能性があります。物理マシン、仮想マシン、コンテナ、あるいはファイル共有に依存するインフラストラクチャなど、あらゆる環境において、ローカル権限の昇格が容易なため、この脆弱性は大きなリスクをもたらします。
DatadogやQualysなどのセキュリティ企業による複数の分析によると、 搾取は些細なことだ 攻撃を仕掛けるにはローカルアクセスだけで十分であり、追加の操作は必要ありません。そのため、内部攻撃者、侵害されたプロセス、あるいは管理者権限のないユーザーが操作を許可されている状況にとって、理想的な攻撃経路となります。実際、特に公開ツールやエクスプロイトが公開された後、まだパッチが適用されていないシステムを探し出して悪用する自動化されたキャンペーンが観測されています。
業界の反応と最新情報
このバグは2023年初頭にMiklos Szerediによって報告され、修正されました。Linuxカーネルの主要開発者である が、専用のコミット(ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3)を通じてパッチをリリースしました。このパッチは、コピー操作中のユーザーとグループのチェックを強化し、現在の名前空間でUIDまたはGIDのマッピングが無効な場合、コピーの継続を防止します。これは、POSIX ACLとの一貫性を確保し、デフォルトのUID/GID 65534が割り当てられ、操作される可能性のあるシナリオを防ぐことを目的としています。
NetApp などのメーカーは、影響を受ける製品の詳細を記載したアドバイザリを最初に公開した企業の 1 つです。これには、パッチ適用済みのカーネルバージョンを統合した複数のコントローラーモデルおよび製品が含まれます。これらの脆弱性を悪用すると、データへのアクセス、情報の改ざん、さらにはサービス拒否(DoS)攻撃につながる可能性があることが確認されています。 Red Hatや他のベンダーもアップデートを開始している この脆弱性に対処するため。
この脆弱性から身を守るための推奨事項と緊急対策
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、CVE-2023-0386を悪用された脆弱性のカタログに追加し、米国連邦政府機関に対し、8年2025月XNUMX日までに更新することを義務付けました。その他のすべての組織とユーザーに対する推奨事項は明確です。
- バグが修正されていることを確認するには、Linux カーネル 6.2-rc6 以降にアップグレードしてください。
- 特にコンテナ、複数のユーザー、または重要なインフラストラクチャがある環境では、システムの異常な権限の動作を監視します。
- すぐにパッチを適用できない環境では、OverlayFS を一時的に無効にするか、管理者以外のユーザーによるローカル アクセスを可能な限り制限することをお勧めします。
- 公式通知とカタログ (CISA の KEV) を参照し、脆弱性を優先的に処理します。
割り当てられた攻撃ベクトルは、CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:Hに相当します。これは、悪用された場合、機密性、整合性、可用性に大きな影響を及ぼす可能性があることを反映しています。
この脆弱性は、特に企業環境や機密データを扱う環境において、Linuxシステムを常に最新の状態に保ち、監視することの重要性を改めて浮き彫りにしています。悪用にはローカルアクセスが必要ですが、公開されているPoCや自動化された攻撃の存在により、脆弱なインスタンスを可能な限り迅速に修正することが緊急性を増しています。このような状況で権限をrootに昇格すると、インフラストラクチャに対する完全な制御を失う可能性があります。
