Pesquisadores de segurança em nuvem descobriram duas vulnerabilidades de escalonamento de privilégios facilmente exploráveis chamadas GameOver(deitar) no módulo Ubuntu OverlayFS. Essas vulnerabilidades podem afetar 40% de usuários do Ubuntu.
O que é OverlayFS?
OverlayFS no Linux é um sistema de arquivos unificado usado em contêineres Docker. Sua função – modificar arquivos sem alterar o sistema de arquivos base. OverlayFS permite que uma árvore de diretórios seja sobreposta a outra com acesso restrito somente leitura. As alterações são salvas na camada superior, tornando-o ideal para Live CDs e outros usos. Ao contrário de outros sistemas de arquivos, as ações vão direto para o sistema de arquivos subjacente, resultando em uma implementação simples e eficiente.
No entanto, também pode ser um risco à segurança, permitindo que os usuários executem operações não intencionais em outros sistemas de arquivos. Múltiplas vulnerabilidades foram encontrados em OverlayFS, usando as mesmas primitivas para contornar as restrições básicas de segurança do Linux. O OverlayFS do Ubuntu tem falhas significativas que permitem a criação de executáveis que podem escalar privilégios para root. Os pesquisadores descobriram que é possível criar um arquivo executável com recursos de arquivo com “escopo” e enganar o kernel do Ubuntu. Por isso ele o copia para um local diferente com recursos “sem escopo”, concedendo a qualquer um que o execute privilégios de root. A vulnerabilidade recentemente descoberta do Ubuntu tem o mesmo fluxo que um 2020 Vulnerabilidade do kernel Linux, e não está claro como o Ubuntu se tornou vulnerável a um problema já resolvido.
Game Over(deitar) Vulnerabilidades configuram usuários do Ubuntu
Pesquisadores descobriram duas vulnerabilidades do sistema operacional Ubuntu Linux que podem conceder privilégios elevados aos invasores. Os dois bugs afetam o OverlayFS, um sistema de arquivos Linux amplamente utilizado. As vulnerabilidades são chamadas de GameOver(deitar) e são rastreados como CVE-2023-2640 e CVE-2023-32629 e têm uma pontuação CVSS alta de 7.8. Por falar nisso, esses problemas são exclusivos do Ubuntu, apenas uma das versões do Linux. Eles estão relacionados às mudanças do Ubuntu em 2018 para sua versão do módulo OverlayFS, especificamente a configuração de atributos estendidos que definem as permissões do usuário. É importante observar que embora essas vulnerabilidades sejam fáceis de explorar, eles exigem acesso de usuário local, o que deve limitar a superfície de ataque. No entanto, Ubuntu corrigiu as vulnerabilidades em julho 24, 2023, e os usuários são fortemente encorajados a atualizar seus kernels.
Sobre CVE-2023-2640 e CVE-2023-32629
Em termos simples, Game Over(deitar) permite a criação de um arquivo executável com recursos de arquivo com escopo e engana o Kernel do Ubuntu para movê-lo para um local diferente com recursos sem escopo. Ele permite que qualquer pessoa que o execute obtenha privilégios semelhantes aos de root. Aqui estão duas vulnerabilidades resumidas:
CVE-2023-2640 – Nos kernels do Ubuntu com c914c0e27eb0 e “UBUNTU: MOLHO: sobreposições: Ignorar a verificação de permissão para trust.overlayfs.* xattrs,” um usuário sem privilégios pode definir atributos estendidos privilegiados em arquivos montados, fazendo com que eles sejam definidos em arquivos superiores sem verificações de segurança adequadas.
CVE-2023-32629 – Existe um vulnerabilidade de escalonamento de privilégios locais nos kernels do Ubuntu overlayfs ovl_copy_up_meta_inode_data, que ignora as verificações de permissão ao chamar ovl_do_setxattr nos kernels do Ubuntu. Game Over(deitar) permite que um invasor crie um arquivo executável com recursos de arquivo com escopo e engane o kernel do Ubuntu para copiá-lo para um local diferente com recursos sem escopo, concedendo privilégios semelhantes aos de root para qualquer um que o execute.
