Эксплойт для Linux-ядра в деле: баг даёт root и попал в список CISA

Агентство по кибербезопасности и защите инфраструктуры (CISA) внесло в свой список активно эксплуатируемых уязвимостей (KEV) баг в ядре Linux. Причина — брешь действительно используется в атаках прямо сейчас.

Этот баг (отслеживается под номером CVE-2023-0386) позволяет повышать права в системе. Обычный пользователь может получить доступ уровня root — а это уже полный контроль над машиной.

Проблема кроется в том, как работает OverlayFS — файловая подсистема Linux. При копировании файла с одного раздела на другой (в частности, с nosuid-раздела) ядро не проверяло, совпадают ли UID/GID пользователя. В результате можно «протащить» специальный исполняемый файл с правами SUID root'а в каталог вроде /tmp и запустить его. Всё — вы root.

Технически эксплойт реализуется довольно просто. Ещё в 2023 году компания Datadog показала, как с помощью этой уязвимости можно создать исполняемый файл от имени root, при этом оставаясь обычным пользователем. Эксплойт можно «собрать» через OverlayFS — файловая система здесь выступает в роли посредника, помогающего обойти защиту.

Хотя патч был выпущен ещё в начале 2023 года, сейчас стало ясно, что уязвимость активно используется — и не просто теоретически, а прямо в дикой природе. Поэтому CISA официально требует, чтобы все федеральные ведомства США закрыли дыру до 8 июля 2025 года.

Эксперты из Wiz нашли ещё две похожие уязвимости — CVE-2023-32629 и CVE-2023-2640, которые получили общее имя GameOver(lay). Механизм похож: создаются особые исполняемые файлы, которые при запуске тоже дают доступ уровня root.

Если вы администрируете Linux-серверы — убедитесь, что все патчи стоят. Уязвимость старая, но всё ещё отлично работает и используется злоумышленниками.