Si elles sont exploitées, ces failles peuvent permettre aux attaquants d’obtenir un accès non autorisé à des informations sensibles ou de causer des problèmes en général.
Des informations ont été publiées sur un vulnérabilité détectée dans le noyau Linux dans l’implémentation du système de fichiers OverlayFS (répertorié sous CVE-2023-0386).
Échec peut être utilisé pour obtenir un accès root sur les systèmes sur lesquels le sous-système FUSE est installé et autorisent le montage de partitions OverlayFS par un utilisateur non privilégié (à partir du noyau Linux 5.11 avec l’inclusion d’un espace de noms d’utilisateur non privilégié).
L’attaque se fait en copiant les fichiers avec les drapeaux setgid/setuid d’une partition montée en mode nosuid vers une partition OverlayFS qui a une couche associée à la partition qui permet l’exécution de fichiers suid.
Une faille a été trouvée dans le noyau Linux où un accès non autorisé à l’exécution du fichier setuid avec des capacités a été trouvé dans le sous-système OverlayFS du noyau Linux sous la forme d’un utilisateur copiant un fichier capable d’un montage nosuid à un autre montage. Cette erreur de mappage uid permet à un utilisateur local d’augmenter ses privilèges sur le système.
vulnérabilité est similaire au problème CVE-2021-3847 identifié en 2021, mais diffère par des exigences d’exploit inférieures : l’ancien problème nécessitait une manipulation de xattrs, qui se limite à l’utilisation d’espaces de noms d’utilisateurs (espace de noms d’utilisateur), et le nouveau problème utilise des bits setgid/setuid qui ne sont pas gérés spécifiquement dans l’espace de nom d’utilisateur.
Un attaquant avec un utilisateur à faibles privilèges sur une machine Linux avec un montage superposé qui a une capacité de fichier dans l’une de ses couches peut élever ses privilèges à root en copiant un fichier compatible d’un montage nosuid vers un autre montage. Cette vulnérabilité est similaire à CVE-2021-3847 , mais nécessite moins d’autorisations pour s’exécuter, elle a donc une priorité plus élevée.
Algorithme d’attaque :
- À l’aide du sous-système FUSE, un système de fichiers est monté, dans lequel se trouve un fichier exécutable appartenant à l’utilisateur root avec les drapeaux setuid / setgid, disponible pour tous les utilisateurs en écriture. Au montage, FUSE règle le mode sur “nosuid”.
- Arrêtez de partager les espaces de noms d’utilisateurs et les points de montage (espace de noms utilisateur/montage).
- OverlayFS se monte avec le FS précédemment créé dans FUSE comme couche inférieure et couche supérieure en fonction du répertoire d’écriture. Le répertoire de la couche supérieure doit être situé sur un système de fichiers qui n’utilise pas l’indicateur « nosuid » lors du montage.
- Pour un fichier suid dans la partition FUSE, l’utilitaire touch modifie l’heure de modification, amenant sa copie à la couche supérieure d’OverlayFS.
- Lors de la copie, le noyau ne supprime pas les drapeaux setgid/setuid, ce qui fait apparaître le fichier dans une partition qui peut être traitée par setgid/setuid.
- Pour obtenir les droits root, exécutez simplement le fichier avec les drapeaux setgid/setuid à partir du répertoire attaché à la couche supérieure OverlayFS.
Sur la solution de la vulnérabilitéil convient de mentionner que ce il a été corrigé dans la branche du noyau 6.2. Si vous voulez en savoir plus sur la publication des mises à jour de paquets dans les distributions, vous pouvez le voir sur les pages : Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
En outre, nous pouvons souligner la divulgation de informations des chercheurs de l’équipe Google Project Zero sur trois vulnérabilités corrigées dans la branche principale du noyau Linux 5.15mais ils n’ont pas été portés vers les packages de noyau RHEL 8.x/9.x et le flux CentOS 9.
- CVE-2023-1252: Accès à une zone mémoire déjà libérée dans la structure ovl_aio_req tout en effectuant plusieurs opérations en même temps dans OverlayFS implémenté sur le système de fichiers Ext4. Potentiellement, la vulnérabilité vous permet d’augmenter vos privilèges sur le système.
- CVE-2023-0590: Fait référence à une zone mémoire déjà libérée dans la fonction qdisc_graft(). L’opération est censée se limiter à avorter.
- CVE-2023-1249: accès à la zone mémoire déjà libérée dans le code d’entrée du dump en raison d’un appel mmap_lock manqué dans file_files_note. L’opération est censée se limiter à avorter.
