在Ubuntu Linux的OverlayFS模塊中發(fā)現(xiàn)了兩個(gè)高優(yōu)先級(jí)漏洞，影響了大約40%的Ubuntu云工作負(fù)載。

據(jù)Wiz Research的安全專家稱，這些漏洞被命名為CVE-2023-2640和CVE-2023-32629，是在廣泛使用的Linux文件系統(tǒng)OverlayFS中發(fā)現(xiàn)的。由于能夠基于預(yù)構(gòu)建的映像部署動(dòng)態(tài)文件系統(tǒng)，OverlayFS隨著容器技術(shù)的廣泛采用而受到歡迎。

這些漏洞允許攻擊者將受影響系統(tǒng)上的特權(quán)升級(jí)到根級(jí)別。OverlayFS提供了一個(gè)有吸引力的攻擊面，因?yàn)樗倪壿嬄┒礆v史很容易被利用。特別值得關(guān)注的是，以前用于OverlayFS漏洞的漏洞可以在不修改這些新發(fā)現(xiàn)的漏洞的情況下應(yīng)用。

Conversant Group的首席執(zhí)行官John a.Smith警告說:“這些漏洞是多年來發(fā)生的許多單獨(dú)的變更事件的結(jié)果。因此，他們有公開的概念證明(POC)黑客。這意味著，它們具有很高的被利用的風(fēng)險(xiǎn)，應(yīng)該立即打補(bǔ)丁。”

這些問題是Ubuntu Linux特有的，因?yàn)樵摪l(fā)行版在2018年對(duì)OverlayFS模塊進(jìn)行了更改，最初并未構(gòu)成任何風(fēng)險(xiǎn)。然而，Linux內(nèi)核的后續(xù)安全補(bǔ)丁并沒有完全解決Ubuntu的修改，導(dǎo)致了額外的易受攻擊的流，直到現(xiàn)在才被注意到。

Wiz的首席技術(shù)官兼聯(lián)合創(chuàng)始人Ami Luttwak解釋說:“Ubuntu多年前引入的Linux內(nèi)核的細(xì)微變化帶來了不可預(yù)見的影響。我們發(fā)現(xiàn)了兩個(gè)由這些更改引起的特權(quán)升級(jí)漏洞，但不知道還有多少其他漏洞仍然潛伏在Linux內(nèi)核的陰影中?！?/p>

Ubuntu對(duì)這一發(fā)現(xiàn)迅速做出了回應(yīng)，并為受影響的內(nèi)核發(fā)布了修復(fù)版本。我們敦促用戶將其內(nèi)核更新到最新版本，以降低風(fēng)險(xiǎn)。此外，對(duì)于不能立即更新系統(tǒng)的用戶，還有一個(gè)解決方案:將用戶名稱空間的使用限制為具有有限權(quán)限的用戶，可以幫助防止?jié)撛诘睦谩?/strong>

Vulcan Cyber的高級(jí)技術(shù)工程師Mike Parkin說:“這里顯示的漏洞確實(shí)突出了Linux內(nèi)核開發(fā)和單個(gè)發(fā)行版之間的關(guān)系，它們添加了自己的特殊調(diào)整，可能會(huì)產(chǎn)生不可預(yù)見的后果?！?/p>

幸運(yùn)的是，雖然這些漏洞很容易被利用，但它們需要本地用戶訪問，這應(yīng)該會(huì)限制攻擊面。遠(yuǎn)程開發(fā)似乎不太可能。

負(fù)責(zé)任的披露過程始于2023年6月，當(dāng)時(shí)Wiz Research報(bào)告了Ubuntu的漏洞。Linux發(fā)行版確認(rèn)了這些問題，并致力于解決這些問題，從而在2023年7月底發(fā)布補(bǔ)丁。

標(biāo)簽：