अलिकडच्या काळात, यूएस सायबरसुरक्षा आणि पायाभूत सुविधा सुरक्षा एजन्सी (CISA) ने सक्रिय शोषणाबाबत एक तातडीचा इशारा जारी केला आहे. भेद्यता सीव्हीई- 2023-0386, Linux कर्नलमध्ये आढळले. ही भेद्यता, ज्याला उच्च तीव्रता म्हणून रेट केले आहे, OverlayFS उपप्रणालीमधील मालकी परवानग्यांच्या व्यवस्थापनातील दोष म्हणून ओळखली गेली आहे. शोषण स्थानिक वापरकर्त्यांना विशेषाधिकार वाढवते आणि प्रशासक प्रवेश मिळवते, ज्यामुळे कोणत्याही प्रभावित Linux प्रणालीला धोका निर्माण होतो.
ही चूक विशेषतः चिंताजनक आहे कारण हे सर्व्हर आणि व्हर्च्युअल मशीनपासून क्लाउडपर्यंत विविध प्रकारच्या वातावरणावर परिणाम करते., कंटेनर आणि अगदी विंडोज सबसिस्टम फॉर लिनक्स (WSL) डिप्लॉयमेंट्ससाठी. या प्रकारच्या परिस्थितींमध्ये, जिथे वापरकर्त्यांमधील विशेषाधिकार विभागणी महत्त्वाची असते, योग्य पॅचेस लागू न केल्यास गंभीरपणे तडजोड केली जाऊ शकते.
CVE-2023-0386 भेद्यता काय आहे?
समस्येचे मूळ वेगवेगळ्या माउंट पॉइंट्समधील विशेष क्षमतांसह ओव्हरलेएफएस फाइल कॉपी ऑपरेशन्स कसे हाताळते यावर अवलंबून आहे.. विशेषतः, जर वापरकर्ता अशा माउंटवरून उच्च परवानग्या असलेली फाइल कॉपी करतो जे नोस्यूइड दुसऱ्या माउंटवर, ऑपरेशन दरम्यान कर्नल setuid आणि setgid बिट्स योग्यरित्या काढून टाकत नाही. यामुळे हल्लेखोरासाठी दार उघडते ज्याच्याकडे आधीच स्थानिक प्रवेश आहे आणि तो नेहमीच्या निर्बंधांना टाळून रूट परवानग्यांसह फायली कार्यान्वित करू शकतो.
असुरक्षितता 6.2-rc6 च्या आधीच्या कर्नल आवृत्त्यांवर परिणाम करते ज्यांच्याकडे ओव्हरलेएफएस आणि वापरकर्ता नेमस्पेसेस सक्षम आहेत. डेबियन, उबंटू, रेड हॅट आणि अमेझॉन लिनक्स सारख्या मोठ्या प्रमाणात वापरल्या जाणाऱ्या वितरणांना संबंधित अपडेट मिळाले नसल्यास ते असुरक्षित सिस्टीमच्या यादीत आहेत. शिवाय, मे २०२३ पासून गिटहबवर प्रूफ्स ऑफ कॉन्सेप्ट (पीओसी) च्या प्रकाशनातून दोष किती सहजतेने वापरता येतो हे दिसून आले आहे, ज्यामुळे शोषणाच्या प्रयत्नांमध्ये नाट्यमय वाढ झाली आहे.
गंभीर वातावरणात व्याप्ती आणि धोके
ओव्हरलेएफएस मध्ये CVE-2023-0386 ला मालमत्ता व्यवस्थापन कमकुवतपणा (CWE-282) म्हणून वर्गीकृत करण्यात आले., आणि मल्टी-टेनंट सिस्टम, एंटरप्राइजेस किंवा अगदी क्लाउड प्लॅटफॉर्ममध्ये वापरकर्त्यांच्या सीमा ओलांडण्यासाठी वापरला जाऊ शकतो. भौतिक किंवा आभासी मशीन, कंटेनर किंवा फाइल शेअरिंगवर अवलंबून असलेल्या पायाभूत सुविधांवर असो, स्थानिक विशेषाधिकार वाढवता येण्याच्या सहजतेमुळे ही त्रुटी लक्षणीय धोका निर्माण करते.
डेटाडॉग आणि क्वालिस सारख्या सुरक्षा कंपन्यांच्या अनेक विश्लेषणांनुसार, शोषण क्षुल्लक आहे. हल्ला सुरू करण्यासाठी स्थानिक प्रवेश पुरेसा आहे, त्यासाठी कोणत्याही अतिरिक्त संवादाची आवश्यकता नाही. यामुळे अंतर्गत हल्लेखोरांसाठी, तडजोड झालेल्या प्रक्रियांसाठी किंवा प्रशासकीय विशेषाधिकार नसलेल्या वापरकर्त्यांना ऑपरेट करण्याची परवानगी असलेल्या परिस्थितींसाठी ते एक आदर्श वेक्टर बनते. खरं तर, अद्याप पॅच न केलेल्या सिस्टम शोधून त्यांचा वापर करणाऱ्या स्वयंचलित मोहिमा आढळून आल्या आहेत, विशेषतः सार्वजनिक साधने आणि शोषणांच्या प्रकाशनानंतर.
उद्योग प्रतिसाद आणि अद्यतने
२०२३ च्या सुरुवातीला मिक्लोस झेरेडी यांनी बगची तक्रार नोंदवली आणि त्याचे निराकरण केले., Linux कर्नलवरील एक प्रमुख विकासक, समर्पित कमिटद्वारे (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). पॅच कॉपी ऑपरेशन्स दरम्यान वापरकर्ता आणि गट तपासणी कडक करते, जर UID किंवा GID मॅपिंग सध्याच्या नेमस्पेसमध्ये अवैध असेल तर सातत्य रोखते. हे POSIX ACL सह सुसंगतता सुनिश्चित करण्यासाठी आणि डीफॉल्ट UID/GID 65534 नियुक्त केलेल्या परिस्थितींना प्रतिबंधित करण्यासाठी आहे, ज्यामध्ये फेरफार केला जाऊ शकतो.
नेटअॅप सारख्या उत्पादकांनी प्रभावित उत्पादनांची माहिती देणारे सल्लागार प्रकाशित करणारे पहिले उत्पादक होते., ज्यामध्ये अनेक कंट्रोलर मॉडेल्स आणि उत्पादने समाविष्ट आहेत जी प्री-पॅच केलेल्या कर्नल आवृत्त्या एकत्रित करतात. ते पुष्टी करतात की शोषणामुळे डेटा अॅक्सेस, माहितीमध्ये बदल किंवा सेवा नाकारण्याचे (DoS) हल्ले देखील होऊ शकतात. रेड हॅट आणि इतर विक्रेत्यांनी देखील अपडेट करण्यास सुरुवात केली आहे या असुरक्षिततेला तोंड देण्यासाठी.
या असुरक्षिततेपासून स्वतःचे संरक्षण करण्यासाठी शिफारसी आणि तातडीचे उपाय
यूएस सायबरसुरक्षा आणि पायाभूत सुविधा सुरक्षा एजन्सी (CISA) ने त्यांच्या शोषित भेद्यतांच्या कॅटलॉगमध्ये CVE-2023-0386 जोडले आहे आणि यूएस फेडरल एजन्सींना 8 जुलै 2025 पर्यंत अपडेट करणे आवश्यक आहे. इतर सर्व संस्था आणि वापरकर्त्यांसाठी, शिफारस स्पष्ट आहे:
- बग दुरुस्त झाला आहे याची खात्री करण्यासाठी Linux कर्नल 6.2-rc6 किंवा उच्च आवृत्तीवर अपग्रेड करा.
- विशेषत: कंटेनर, एकाधिक वापरकर्ते किंवा गंभीर पायाभूत सुविधा असलेल्या वातावरणात, असामान्य विशेषाधिकार वर्तनासाठी सिस्टमचे निरीक्षण करा.
- ज्या वातावरणात पॅच ताबडतोब लागू करता येत नाही, तेथे OverlayFS तात्पुरते अक्षम करण्याची किंवा गैर-प्रशासकीय वापरकर्त्यांसाठी स्थानिक प्रवेश शक्य तितका मर्यादित करण्याची शिफारस केली जाते.
- अधिकृत सूचना आणि कॅटलॉग (CISA चे KEV) पहा आणि भेद्यतेला प्राधान्य द्या.
नियुक्त केलेला हल्ला वेक्टर CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H शी संबंधित आहे., जर यशस्वीरित्या वापरला गेला तर गोपनीयता, सचोटी आणि उपलब्धतेवर होणारा उच्च संभाव्य परिणाम दर्शवितो.
ही भेद्यता Linux सिस्टीम सतत अपडेट आणि देखरेख ठेवण्याचे महत्त्व अधोरेखित करते, विशेषतः एंटरप्राइझ वातावरणात किंवा संवेदनशील डेटा हाताळणाऱ्यांमध्ये. जरी शोषणासाठी स्थानिक प्रवेश आवश्यक असला तरी, सार्वजनिक PoC आणि स्वयंचलित हल्ल्यांच्या अस्तित्वामुळे कोणत्याही असुरक्षित घटना शक्य तितक्या लवकर दुरुस्त करण्याची निकड वाढते. या परिस्थितीत रूट करण्यासाठी विशेषाधिकार वाढवल्याने पायाभूत सुविधांवरील संपूर्ण नियंत्रण गमावले जाऊ शकते.
