GameOver(lay) впливає на 40% хмарних робочих навантажень Ubuntu
Останнім часом Дослідники Wiz Research оприлюднили інформацію про відкриття дві вразливості в Пакунки ядра Linux надаються компанією Ubuntu спричинені спеціальними виправленнями для Ubuntu у реалізації модуля OverlayFS.
Щодо вразливостей, виявлених і названих «GameOver(lay)» (і каталогізованих під CVE-2023-2640 і CVE-2023-32629), згадується, що ці дозволяють підвищити привілеї в системі і, за словами дослідників, які виявили проблеми, їх можна використовувати приблизно в 40% установок Ubuntu.
CVE-2023-2640 і CVE-2023-32629 були знайдені в модулі OverlayFS в Ubuntu, яка є широко використовуваною файловою системою Linux, яка стала дуже популярною з появою контейнерів, оскільки її функції дозволяють реалізувати динамічні файлові системи на основі готові системи.
Про першу вразливість (CVE-2023-2640), як згадується, викликано специфічною зміною Ubuntu, доданою до модуля OverlayFS у 2018 році, який реалізує функції для встановлення та видалення окремих розширених атрибутів файлів без перевірки дозволів. Оскільки для виконання цієї функції потрібна попередня блокування inode, передбачалося, що виклик функції вже мав необхідні привілеї для низькорівневої роботи з файловою системою.
Спочатку, ця зміна застосовувалася лише до атрибутів викликів і була нешкідливою. Але в 2022 р. додав патч до основної реалізації OverlayFS у ядрі Linux, який конфліктував із виправленнями, характерними для Ubuntu, після чого перевірку було вимкнено для всіх розширених атрибутів. Через маніпуляції з просторами імен користувача непривілейований користувач може змонтувати OverlayFS і встановити розширені атрибути для файлів у змонтованій файловій системі, спричиняючи передачу цих атрибутів файлам у верхньому рівні OverlayFS.
Ці дві вразливості є унікальними для Ubuntu, оскільки в Ubuntu було внесено кілька змін до модуля OverlayFS у 2018 році. На той час ці зміни не становили ризику. У 2020 році було виявлено та виправлено вразливість безпеки в ядрі Linux; однак через модифікації Ubuntu додатковий вразливий потік в Ubuntu так і не було виправлено. Це показує складний зв’язок між ядром Linux і випусками дистрибутива, оскільки обидва оновлюють ядро для різних випадків використання.
Друга вразливість CVE-2023-32629 також через відсутність перевірок належних дозволів. Оскільки це згадується як випадок першої вразливості, патч, спочатку створений для Ubuntu, не призвів до уразливості, і проблема з’явилася лише після зміни основної реалізації OverlayFS, внесеної в 2019 році.
І це те, що під час монтування OverlayFS з metacopy=on, Linux не копіює весь файл, якщо змінилися лише метадані файлу. Натомість він копіює лише метадані, які включають можливості файлу, що дозволяє розмістити повністю функціональний підготовлений виконуваний файл за межами простору користувача.
Варто зазначити, що зазначено для використання виявлених уразливостей можна використовувати вже наявні робочі експлойти у відкритому доступі, створений для вищезазначеної вразливості в модулі OverlayFS. Для здійснення атаки необхідно, щоб непривілейований користувач дозволив системі монтувати розділи OverlayFS.
Про виправлення вразливостей, згадується, що вони вже реалізовані незадовго до їх розкриття. Уразливості впливають на різні підтримувані версії Ubuntu і виправлені в оновленнях, випущених 26 липня.
Що стосується обхідного шляху для блокування вразливостей, згадується, що достатньо просто вимкнути можливість для непривілейованих користувачів створювати простори імен ідентифікаторів користувачів. Це можна зробити, виконавши такі команди:
sudo sysctl -w kernel.unprivileged_userns_clone=0 echo kernel.unprivileged_userns_clone=0 | \ sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf
В кінці кінців якщо вам цікаво дізнатись більше про це, я запрошую вас переглянути оригінальну статтю, опубліковану Wiz Research, відвідавши їхній блог за адресою наступне посилання.