-
09/04/2020
-
100
-
872 bài viết
Đừng chủ quan vì lỗ hổng đã được vá: CVE-2023-0386 quay lại tấn công hệ thống Linux
CISA vừa đưa lỗ hổng leo thang đặc quyền nguy hiểm CVE-2023-0386 trong Linux Kernel vào danh mục KEV (Danh mục các lỗ hổng đã bị khai thác). Cảnh báo này đặc biệt quan trọng với quản trị hệ thống và các tổ chức sử dụng hệ điều hành Linux.
Vấn đề xuất phát từ việc quản lý quyền sở hữu tập tin không đúng cách (improper ownership management), cho phép người dùng cục bộ nâng quyền trái phép (local privilege escalation). Mặc dù lỗ hổng đã được vá từ đầu năm 2023, nhiều hệ thống chưa cập nhật vẫn đang trong tình trạng dễ bị tấn công, gây ra rủi ro nghiêm trọng đối với hệ thống Linux.
Theo phân tích khác của Datadog Security Labs, CVE-2023-0386 rất dễ khai thác và và ảnh hưởng đến nhiều bản phân phối Linux phổ biến như Debian, Red Hat, Ubuntu và Amazon Linux nếu hệ thống đang sử dụng nhân Linux (kernel) phiên bản thấp hơn 6.2.
Cả ba lỗ hổng đều có điểm chung là khai thác cơ chế xử lý OverlayFS trong Linux, đặc biệt ảnh hưởng đến các hệ thống Ubuntu để thực hiện leo thang đặc quyền và chiếm quyền root.
Hãy nhìn qua về lỗ hổng này
Hệ thống bị ảnh hưởng là hệ điều hành Linux, cụ thể là kernel của Linux sử dụng hệ thống tập tin OverlayFS. Lỗ hổng được xác định là CVE‑2023‑0386, điểm CVSS 7,8, một lỗi trong cơ chế quản lý quyền sở hữu file khi người dùng không có đặc quyền di chuyển một file có SUID từ một phân vùng được gắn với tùy chọn nosuid sang một phân vùng khác, dẫn đến khả năng leo thang đặc quyền root trên hệ thống bị ảnh hưởngVấn đề xuất phát từ việc quản lý quyền sở hữu tập tin không đúng cách (improper ownership management), cho phép người dùng cục bộ nâng quyền trái phép (local privilege escalation). Mặc dù lỗ hổng đã được vá từ đầu năm 2023, nhiều hệ thống chưa cập nhật vẫn đang trong tình trạng dễ bị tấn công, gây ra rủi ro nghiêm trọng đối với hệ thống Linux.
Theo phân tích khác của Datadog Security Labs, CVE-2023-0386 rất dễ khai thác và và ảnh hưởng đến nhiều bản phân phối Linux phổ biến như Debian, Red Hat, Ubuntu và Amazon Linux nếu hệ thống đang sử dụng nhân Linux (kernel) phiên bản thấp hơn 6.2.
Cách thức khai thác như nào?
Việc khai thác được đánh giá là tương đối dễ thực hiện với các bước cơ bản như sau:- Lợi dụng OverlayFS để sao chép một tập tin từ thư mục "lower" lên thư mục "upper", bỏ qua cơ chế kiểm tra ánh xạ (mapped) quyền sở hữu (uid/gid).
- Đánh lừa kernel tạo ra một tập tin thực thi có quyền SUID (tập tin thực thi với quyền root) tại vị trí như /tmp.
- Sau đó, tin tặc chỉ cần thực thi tập tin này để chiếm quyền điều khiển hệ thống với mức đặc quyền cao nhất.
Mối liên hệ đến các lỗ hổng khác
Lỗ hổng CVE-2023-0386 không phải là trường hợp đơn lẻ. Cuối năm 2023, các nhà nghiên cứu tại Wiz đã công bố hai lỗ hổng nghiêm trọng khác là CVE-2023-32629 và CVE-2023-2640, cùng được đặt tên chung là GameOver(lay).Cả ba lỗ hổng đều có điểm chung là khai thác cơ chế xử lý OverlayFS trong Linux, đặc biệt ảnh hưởng đến các hệ thống Ubuntu để thực hiện leo thang đặc quyền và chiếm quyền root.
Hãy vá trước khi quá muộn
Người dùng và quản trị viên Linux hãy cập nhật bản vá trước ngày 8/7/2025 để bảo vệ hệ thống khỏi các rủi ro an ninh mạng. Đồng thời lưu ý:- Cập nhật kernel lên phiên bản mới nhất nếu hệ thống sử dụng OverlayFS.
- Kiểm tra kỹ các quyền sở hữu file và mount options liên quan đến nosuid.
- Hạn chế quyền truy cập ghi đè vào các mount point nghi ngờ.
- Giám sát các hoạt động tạo file thực thi trong thư mục như /tmp.
Theo The Hacker News
Chỉnh sửa lần cuối: