米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は火曜日、Linuxカーネルに影響を与えるセキュリティ欠陥をその既知の悪用された脆弱性(KEV)カタログに追加し、野生で積極的に悪用されていると述べました。
この脆弱性、CVE-2023-0386(CVSSスコア: 7.8)は、Linuxカーネルの不適切な所有権バグであり、脆弱なシステムで特権を昇格させるために悪用される可能性があります。これは2023年初頭に修正されました。
「Linuxカーネルには不適切な所有権管理の脆弱性が含まれており、ユーザーがnosuidマウントから別のマウントに有能なファイルをコピーする方法で、LinuxカーネルのOverlayFSサブシステムでsetuidファイルの実行への不正アクセスが発見されました」と同庁は述べています。
「このuidマッピングバグにより、ローカルユーザーがシステム上で特権を昇格させることができます。」
現在、このセキュリティ欠陥がどのように野生で悪用されているかは不明です。2023年5月に発表されたレポートで、Datadogはこの脆弱性が悪用するのが簡単であり、カーネルを騙して「/tmp」のようなフォルダにルート所有のSUIDバイナリを作成し、それを実行することで機能すると述べました。
「CVE-2023-0386は、カーネルがオーバーレイファイルシステムから「上位」ディレクトリにファイルをコピーする際に、このファイルを所有するユーザー/グループが現在のユーザーネームスペースでマッピングされているかどうかを確認しなかったことに起因します」と同社は述べました。
「これにより、特権のないユーザーがOverlayFSを仲介として使用して、「下位」ディレクトリから「上位」ディレクトリにSUIDバイナリを密輸することができます。」
その年の後半、クラウドセキュリティ企業Wizは、Unixシステムに影響を与え、CVE-2023-0386と同様の結果をもたらす2つのセキュリティ脆弱性をGameOver(lay)(CVE-2023-32629およびCVE-2023-2640)と名付けて詳細を発表しました。
「これらの欠陥により、実行時に影響を受けたマシンでルートへの特権を昇格させる能力を持つ特殊な実行可能ファイルを作成することができます」とWizの研究者は述べました。
連邦民間行政機関(FCEB)は、2025年7月8日までに必要なパッチを適用して、アクティブな脅威からネットワークを保護する必要があります。
翻訳元: https://thehackernews.com/2025/06/cisa-warns-of-active-exploitation-of.html