- 19,417
- 40
- 8 Ноя 2022
Всё, что нужно злоумышленнику — немного терпения и забытый баг в OverlayFS.
Американское агентство по кибербезопасности и защите критической инфраструктуры ( Для просмотра ссылки Войдиили Зарегистрируйся ) официально внесло в реестр активно эксплуатируемых уязвимостей (KEV) опасный сбой в Для просмотра ссылки Войди или Зарегистрируйся — CVE-2023-0386. Угроза признана реальной: в последние месяцы она начала использоваться в атаках на реальные системы, несмотря на то что патч был выпущен ещё в начале 2023 года.
Проблема кроется в подсистеме OverlayFS — механизме, применяемом для объединения нескольких файловых пространств, особенно часто используемом в Для просмотра ссылки Войдиили Зарегистрируйся и Live-средах. Суть уязвимости заключается в некорректной обработке прав доступа при копировании исполняемого файла с дополнительными возможностями из одного монтированного тома в другой. Ядро не проверяло, соответствует ли идентификатор пользователя текущему пространству имён, что позволяло неквалифицированному пользователю незаметно внедрить SUID-бинарник, исполняемый от имени root.
Исследование компании Datadog, опубликованное в мае прошлого года, показало, что эксплойт реализуется элементарно. Метод атаки предполагает создание исполняемого файла с флагом SUID в директории вроде /tmp, что даёт злоумышленнику полномочия суперпользователя без необходимости обойти какие-либо другие уровни защиты. Простота реализации делает эту брешь особенно привлекательной для автоматизированных эксплойт-наборов.
Хотя Для просмотра ссылки Войдиили Зарегистрируйся была исправлена довольно быстро, спустя год CISA подтвердила: вредоносные группы начали активно использовать её в реальных атаках. Детали того, в каких сценариях применяется эксплойт, пока не раскрываются, но сам факт добавления в KEV означает, что речь идёт не о теоретической угрозе, а о текущей активности в дикой среде.
Уязвимость затрагивает ключевую для безопасности часть Linux — пространства имён, через которые осуществляется изоляция процессов и пользователей. Ошибка позволяет без надлежащей проверки перенести привилегированный исполняемый файл из нижнего слоя OverlayFS в верхний, тем самым получив возможность выполнить его с правами администратора. Такой обходной путь особенно опасен в многопользовательских системах и в средах с контейнеризацией.
Позже в 2023 году компания Wiz опубликовала отчёт о двух смежных проблемах — CVE-2023-32629 и CVE-2023-2640. Эти дефекты, объединённые под названием GameOver(lay), имели аналогичный результат: они позволяли формировать исполняемые файлы, предоставлявшие злоумышленникам доступ к корневым правам. Все три уязвимости эксплуатируют слабые места в OverlayFS, делая акцент на обход штатных механизмов контроля прав.
В связи с увеличением риска CISA предписала всем федеральным гражданским ведомствам (FCEB) установить обновления до 8 июля 2025 года. Это обязательное требование должно минимизировать вероятность атак на правительственные серверы и обеспечить базовую устойчивость к подобным техникам Для просмотра ссылки Войдиили Зарегистрируйся .
Важно отметить, что потенциальная Для просмотра ссылки Войдиили Зарегистрируйся существует не только для государственных структур. Все системы на базе Для просмотра ссылки Войди или Зарегистрируйся , в которых используются уязвимые версии ядра и активен OverlayFS, подвержены риску. Особую опасность баг представляет для серверов с публичным доступом, облачных окружений и CI/CD-инфраструктур, где файловая изоляция критически важна для безопасности.
Даже при включённых системах контроля, таких как AppArmor или SELinux, эксплойт может обойти ограничения, если ядро не обновлено. Дополнительный риск связан с тем, что атака не требует загрузки сторонних библиотек — её можно осуществить исключительно с помощью штатных инструментов Linux, что ещё сильнее снижает порог вхождения для потенциальных злоумышленников.
Добавление CVE-2023-0386 в список KEV — тревожный сигнал для всех администраторов и инженеров, отвечающих за защиту Linux-серверов. Без своевременной установки Для просмотра ссылки Войдиили Зарегистрируйся существует реальный шанс полного захвата системы даже при минимальном доступе. Надёжная защита — это не просто наличие брандмауэра или Для просмотра ссылки Войди или Зарегистрируйся , а регулярная работа по поддержанию актуального состояния ядра и анализ прав на SUID-файлы, особенно в публичных и распределённых системах.
Американское агентство по кибербезопасности и защите критической инфраструктуры ( Для просмотра ссылки Войди
Проблема кроется в подсистеме OverlayFS — механизме, применяемом для объединения нескольких файловых пространств, особенно часто используемом в Для просмотра ссылки Войди
Исследование компании Datadog, опубликованное в мае прошлого года, показало, что эксплойт реализуется элементарно. Метод атаки предполагает создание исполняемого файла с флагом SUID в директории вроде /tmp, что даёт злоумышленнику полномочия суперпользователя без необходимости обойти какие-либо другие уровни защиты. Простота реализации делает эту брешь особенно привлекательной для автоматизированных эксплойт-наборов.
Хотя Для просмотра ссылки Войди
Уязвимость затрагивает ключевую для безопасности часть Linux — пространства имён, через которые осуществляется изоляция процессов и пользователей. Ошибка позволяет без надлежащей проверки перенести привилегированный исполняемый файл из нижнего слоя OverlayFS в верхний, тем самым получив возможность выполнить его с правами администратора. Такой обходной путь особенно опасен в многопользовательских системах и в средах с контейнеризацией.
Позже в 2023 году компания Wiz опубликовала отчёт о двух смежных проблемах — CVE-2023-32629 и CVE-2023-2640. Эти дефекты, объединённые под названием GameOver(lay), имели аналогичный результат: они позволяли формировать исполняемые файлы, предоставлявшие злоумышленникам доступ к корневым правам. Все три уязвимости эксплуатируют слабые места в OverlayFS, делая акцент на обход штатных механизмов контроля прав.
В связи с увеличением риска CISA предписала всем федеральным гражданским ведомствам (FCEB) установить обновления до 8 июля 2025 года. Это обязательное требование должно минимизировать вероятность атак на правительственные серверы и обеспечить базовую устойчивость к подобным техникам Для просмотра ссылки Войди
Важно отметить, что потенциальная Для просмотра ссылки Войди
Даже при включённых системах контроля, таких как AppArmor или SELinux, эксплойт может обойти ограничения, если ядро не обновлено. Дополнительный риск связан с тем, что атака не требует загрузки сторонних библиотек — её можно осуществить исключительно с помощью штатных инструментов Linux, что ещё сильнее снижает порог вхождения для потенциальных злоумышленников.
Добавление CVE-2023-0386 в список KEV — тревожный сигнал для всех администраторов и инженеров, отвечающих за защиту Linux-серверов. Без своевременной установки Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
