Vulnerabilità su OverlayFS che affligge il 40% dei sistemi operativi Ubuntu

PROTO: N050723

CERT Yoroi desidera informarla riguardo due vulnerabilità che affliggono i sistemi operativi Ubuntu, note con gli identificativi CVE-2023-32629 e CVE-2023-2640.

Nella giornata del 25 Luglio la società rilascia un bollettino di sicurezza, riguardante nello specifico OverlayFS (che è una popolare implementazione Linux che consente la distribuzione di filesystem dinamici basati su immagini pre-build) e che tratta di due vulnerabilità a livello kernel di cui il vendor ha rilasciato la patch per le versioni vulnerabili, si intendono tutte quelle utilizzanti il modulo in questione. Secondo Wiz Research, il team di ricercatori che ha scoperto le due CVE, i difetti incidono sul 40% degli utenti della popolare distribuzione Linux, sottolineando inoltre che le versioni Ubuntu interessate sono prevalenti nel cloud.

Le due vulnerabilità si strutturano pertanto così:

• CVE-2023-2640 risiede nel kernel Ubuntu Linux ed è di tipo privilege escalation; viene causata da un insufficiente controllo delle autorizzazioni dei file montati (modificate dall'attaccante, sfruttando il bug nel modulo trusted.overlayfs.* xattrs") che consentono ad un utente malintenzionato locale di ottenere privilegi elevati;
• CVE-2023-32629 è un problema di escalation dei privilegi locali che risiede nel Linux kernel memory management subsystem, in particolare quando una race condition viene utilizzata nell'accesso ai VMAs può liberare spazio di memoria, lo spazio liberato può essere utilizzato quindi da un utente malintenzionato locale per eseguire codice arbitrario (nello specifico si intende il modulo overlayfs ovl_copy_up_meta_inode_data).

Il vendor inoltre sottolinea come exploit/POC pubblici relativi a CVE precedenti a queste di OverlayFS funzionino anche con le attuali vulnerabilità, rendendo perciò i possibili scenari di attacco concreti.

Pertanto, si consiglia di seguire le indicazioni di mitigazione fornite aggiornando l'OS alla versione più recente.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index

Riferimenti Esterni

•  https://securityaffairs.com/148856/hacking/linux-ubuntu-flaws.html
• https://www.bleepingcomputer.com/news/security/almost-40-percent-of-ubuntu-users-vulnerable-to-new-privilege-elevation-flaws/
• https://www.redhotcyber.com/post/milioni-di-utenti-ubuntu-vulnerabili-al-bug-di-sicurezza-del-modulo-overlayfs/
• https://ubuntu.com/security/notices/USN-6250-1
• https://www.wiz.io/blog/ubuntu-overlayfs-vulnerability