تحذر CISA من الاستغلال النشط للثغرة الأمنية CVE-2023-0386 في نواة Linux

  • يسمح CVE-2023-0386 بتصعيد الامتيازات المحلية من خلال استغلال خلل في OverlayFS.
  • تؤثر الثغرة الأمنية على توزيعات وبيئات متعددة، بما في ذلك الخوادم والحاويات وWSL.
  • تحث CISA الوكالات الفيدرالية على إجراء تصحيح فوري وتوصي بالترقية إلى kernel 6.2-rc6 أو أعلى.
  • إن الاستغلال أمر بسيط، وهناك أدلة عامة على المفهوم (PoC) موجودة تسهل الهجمات.
Pablinux

5 دقيقة

ثغرة أمنية في لينكس

في الأيام الأخيرة، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تنبيهًا عاجلاً بشأن الاستغلال النشط لـ حساسية CVE-2023-0386تم اكتشاف هذه الثغرة الأمنية، المُصنّفة على أنها شديدة الخطورة، كخلل في إدارة أذونات الملكية ضمن نظام OverlayFS الفرعي. يسمح هذا الاستغلال للمستخدمين المحليين بتوسيع صلاحياتهم والحصول على صلاحيات المسؤول، مما يُعرّض أي نظام لينكس مُتأثر للخطر.

إن الخطأ مثير للقلق بشكل خاص لأنه فهو يؤثر على مجموعة واسعة من البيئات، بدءًا من الخوادم والآلات الافتراضية وحتى السحابة.، إلى الحاويات، وحتى نشر نظام Windows الفرعي لنظام Linux (WSL). هذه الأنواع من السيناريوهات، حيث يكون تقسيم الامتيازات بين المستخدمين أمرًا بالغ الأهمية، قد تتعرض لخطر شديد إذا لم تُطبّق التحديثات المناسبة.

ما هي الثغرة الأمنية CVE-2023-0386؟

أصل المشكلة تكمن المشكلة في كيفية تعامل OverlayFS مع عمليات نسخ الملفات بقدرات خاصة بين نقاط التثبيت المختلفة. على وجه التحديد، إذا قام مستخدم بنسخ ملف بأذونات مرتفعة من تحميل تم تكوينه كـ nosuid إلى جهاز آخر، لا تزيل النواة بتات setuid وsetgid بشكل صحيح أثناء العملية. هذا يفتح المجال للمهاجم، الذي يملك بالفعل وصولاً محليًا، لتنفيذ ملفات بصلاحيات الجذر، متجاوزًا القيود المعتادة.

عالي التأثر يؤثر على إصدارات النواة قبل 6.2-rc6 الأنظمة التي تم تفعيل OverlayFS فيها ومساحات أسماء المستخدمين. تُدرج توزيعات شائعة الاستخدام، مثل Debian وUbuntu وRed Hat وAmazon Linux، ضمن قائمة الأنظمة المعرضة للخطر إذا لم تتلقَّ التحديث المناسب. علاوة على ذلك، تم إثبات سهولة استغلال هذه الثغرة من خلال نشر أدلة المفهوم (PoC) على GitHub منذ مايو 2023، مما أدى إلى زيادة كبيرة في محاولات الاستغلال.

النطاق والمخاطر في البيئات الحرجة

تم تصنيف CVE-2023-0386 على أنه ضعف في إدارة الممتلكات (CWE-282) في OverlayFSويمكن استغلالها لتجاوز حدود المستخدمين في الأنظمة متعددة المستأجرين، أو المؤسسات، أو حتى المنصات السحابية. سواءً على الأجهزة المادية أو الافتراضية، أو الحاويات، أو البنى التحتية التي تعتمد على مشاركة الملفات، تُشكل هذه الثغرة خطرًا كبيرًا نظرًا لسهولة رفع مستوى الامتيازات المحلية.

وفقًا للعديد من التحليلات التي أجرتها شركات الأمن مثل Datadog وQualys، الاستغلال أمر تافه يكفي الوصول المحلي لتفعيل الهجوم، دون الحاجة إلى أي تفاعل إضافي. وهذا يجعله وسيلة مثالية للمهاجمين الداخليين، أو العمليات المخترقة، أو الحالات التي يُسمح فيها للمستخدمين الذين لا يملكون صلاحيات إدارية بالعمل. في الواقع، لوحظت حملات آلية تبحث عن أنظمة لم تُرقّع بعد وتستغلها، خاصةً بعد إصدار أدوات عامة وثغرات أمنية.

استجابة الصناعة والتحديثات

تم الإبلاغ عن الخطأ وإصلاحه في أوائل عام 2023 بواسطة Miklos Szeredi.، وهو مطور رئيسي في نواة لينكس، عبر التزام مخصص (المعرف: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). يُشدد هذا التصحيح إجراءات التحقق من المستخدمين والمجموعات أثناء عمليات النسخ، مما يمنع الاستمرارية إذا كان تعيين معرف المستخدم أو معرف المجموعة غير صحيح في مساحة الاسم الحالية. يهدف هذا إلى ضمان التوافق مع قوائم التحكم في الوصول POSIX، ومنع السيناريوهات التي تم فيها تعيين معرف المستخدم/معرف المجموعة الافتراضي 65534، والذي يُمكن التلاعب به.

وكانت الشركات المصنعة مثل NetApp من بين أوائل الشركات التي نشرت تحذيرات تفصيلية حول المنتجات المتأثرة.، بما في ذلك العديد من نماذج ومنتجات وحدات التحكم التي تدمج إصدارات النواة المُرقعة مسبقًا. وتؤكد هذه النماذج أن الاستغلال قد يؤدي إلى الوصول إلى البيانات، أو تعديل المعلومات، أو حتى هجمات رفض الخدمة (DoS). بدأت شركة Red Hat والموردون الآخرون أيضًا في التحديث لمعالجة هذه الثغرة.

التوصيات والتدابير العاجلة لحماية نفسك من هذه الثغرة

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة CVE-2023-0386 إلى قائمة الثغرات المُستغلة، وتُلزم الوكالات الفيدرالية الأمريكية بتحديثها بحلول 8 يوليو 2025. أما بالنسبة لجميع المؤسسات والمستخدمين الآخرين، فالتوصية واضحة:

  • قم بالترقية إلى Linux kernel 6.2-rc6 أو أعلى للتأكد من إصلاح الخطأ.
  • راقب الأنظمة بحثًا عن سلوك الامتيازات الشاذ، وخاصةً في البيئات التي تحتوي على حاويات أو مستخدمين متعددين أو بنية أساسية حيوية.
  • في البيئات التي لا يمكن فيها تطبيق التصحيح فورًا، يوصى بتعطيل OverlayFS مؤقتًا أو تقييد الوصول المحلي للمستخدمين غير الإداريين قدر الإمكان.
  • قم بالاطلاع على الإشعارات والكتالوجات الرسمية (KEV التابعة لـ CISA) وتعامل مع الثغرة الأمنية كأولوية.

يتوافق متجه الهجوم المخصص مع CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H، مما يعكس التأثير المحتمل الكبير على السرية والنزاهة والتوافر إذا تم استغلاله بنجاح.

تُبرز هذه الثغرة أهمية تحديث أنظمة لينكس ومراقبتها باستمرار، خاصةً في بيئات المؤسسات أو تلك التي تتعامل مع بيانات حساسة. على الرغم من أن استغلالها يتطلب وصولاً محليًا، إلا أن وجود إثباتات مفهوم عامة وهجمات آلية يزيد من ضرورة معالجة أي حالات ثغرات أمنية بأسرع وقت ممكن. قد يؤدي تصعيد صلاحيات الجذر في هذه الظروف إلى فقدان السيطرة الكاملة على البنية التحتية.

حساسية
المادة ذات الصلة:
تم اكتشاف ثغرتين في Linux Kernel والتي ما زالت تسمح للمستخدمين برفع امتيازاتهم 

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: AB Internet Networks 2008 SL
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.