CISA waarschuwt Amerikaanse federale agentschappen voor aanvallers die zich richten op een ernstig beveiligingslek in de OverlayFS-submodule van de Linux-kernel. Deze kwetsbaarheid maakt het mogelijk om root-rechten te verkrijgen.
Dat meldt BleepingComputer. De lokale privilege-escalatiekwetsbaarheid (CVE-2023-0386) ontstaat door een fout in het beheer van eigendomsrechten in de Linux-kernel. Het probleem werd in januari 2023 verholpen en twee maanden later openbaar gemaakt.
Vanaf mei 2023 verschenen meerdere proof-of-concept-exploits op GitHub. Dit maakt het makkelijker om de kwetsbaarheid te misbruiken. Hierdoor werd het een topprioriteit voor Linux-beheerders om hun systemen te patchen.
Volgens een analyse van Datadog Security Labs is CVE-2023-0386 eenvoudig te misbruiken. Het treft veelgebruikte Linux-distributies zoals Debian, Red Hat, Ubuntu en Amazon Linux. Die moeten wel draaien op een kernelversie lager dan 6.2.
Fout in het beheer van eigendomsrechten
CISA legt uit dat de Linux-kernel een fout bevat in het beheer van eigendomsrechten. Daarbij kan een gebruiker zonder toestemming een uitvoerbaar bestand met extra rechten van een nosuid-mount naar een andere mount kopiëren binnen de OverlayFS-submodule. Dit foutje in de uid-mapping maakt het mogelijk voor een lokale gebruiker om zijn rechten op te schroeven op het systeem.
Op grond van de Binding Operational Directive (BOD) 22-01 van november 2021, zijn Amerikaanse federale agentschappen verplicht hun netwerken te beschermen tegen lopende aanvallen die deze kwetsbaarheid misbruiken.
CISA geeft instanties binnen de Federal Civilian Executive Branch (FCEB) drie weken de tijd om hun Linux-systemen te patchen. De organisatie meldde dat kwaadwillende cyberactoren dit soort kwetsbaarheden vaak als aanvalsmiddel gebruiken. De kwetsbaarheden vormen een aanzienlijk risico voor de federale infrastructuur.
Op dinsdag waarschuwden onderzoekers van de Qualys Threat Research Unit (TRU) eveneens dat dreigingsactoren twee recent gepatchte lokale privilege-escalatiekwetsbaarheden kunnen gebruiken om root-toegang te verkrijgen op systemen die draaien op belangrijke Linux-distributies.
Qualys TRU ontwikkelde proof-of-concept-exploits. Het bedrijf wist met succes CVE-2025-6019 te gebruiken om root-rechten te verkrijgen op systemen met Debian, Ubuntu, Fedora en openSUSE.