La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente inserito una vulnerabilità di sicurezza che colpisce il kernel Linux nel suo catalogo delle Vulnerabilità Sfruttate Conosciute (KEV), affermando che è stata attivamente sfruttata in natura. La vulnerabilità, identificata come CVE-2023-0386 (punteggio CVSS: 7.8), è un bug di gestione impropria della proprietà nel kernel Linux che potrebbe essere sfruttato per aumentare i privilegi su sistemi vulnerabili. È stata corretta all’inizio del 2023.
Dettagli della vulnerabilità nel kernel linux
Secondo l’agenzia, “il kernel Linux contiene una vulnerabilità di gestione impropria della proprietà, dove è stato trovato un accesso non autorizzato all’esecuzione del file setuid con capacità nel sottosistema OverlayFS del kernel Linux, nel modo in cui un utente copia un file capace da un mount nosuid in un altro mount”. Questo bug di mappatura uid consente a un utente locale di aumentare i propri privilegi sul sistema.
Metodi di sfruttamento della vulnerabilità
Non è attualmente noto come la falla di sicurezza venga sfruttata in natura. In un rapporto pubblicato a maggio 2023, Datadog ha affermato che la vulnerabilità è semplice da sfruttare e funziona ingannando il kernel nel creare un binario SUID di proprietà di root in una cartella come “/tmp” ed eseguendolo. “CVE-2023-0386 risiede nel fatto che quando il kernel copia un file dal file system overlay alla directory ‘superiore’, non verifica se l’utente/gruppo proprietario di questo file è mappato nello spazio dei nomi utente corrente”, ha dichiarato l’azienda. “Questo consente a un utente non privilegiato di contrabbandare un binario SUID da una directory ‘inferiore’ a una directory ‘superiore’, utilizzando OverlayFS come intermediario”.
Vulnerabilità simili e patch richieste
Più tardi nello stesso anno, l’azienda di sicurezza cloud Wiz ha dettagliato due vulnerabilità di sicurezza denominate GameOver(lay) (CVE-2023-32629 e CVE-2023-2640) che colpiscono i sistemi Ubuntu e portano a conseguenze simili a CVE-2023-0386. “Questi difetti consentono la creazione di eseguibili specializzati che, una volta eseguiti, concedono la capacità di aumentare i privilegi a root sulla macchina interessata”, hanno affermato i ricercatori di Wiz. Le agenzie del Federal Civilian Executive Branch (FCEB) sono tenute ad applicare le patch necessarie entro l’8 luglio 2025 per proteggere le loro reti dalle minacce attive.
Fonte: The Hackers News
