สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อ Linux Kernel เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) เมื่อวันอังคารที่ผ่านมา โดยระบุว่า ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง
ช่องโหว่ CVE-2023-0386 (CVSS Score : 7.8) เป็นช่องโหว่การจัดการสิทธิ์ ownership ที่ไม่เหมาะสม ใน Linux kernel และอาจถูกนำไปใช้เพื่อยกระดับสิทธิ์บนระบบที่มีช่องโหว่นี้ โดยช่องโหว่นี้ได้รับการแก้ไขไปแล้วในช่วงต้นปี 2023
CISA ระบุว่า “Linux kernel มีช่องโหว่ด้านการจัดการ ownership ที่ไม่เหมาะสม โดยพบการเข้าถึงที่ไม่ได้รับอนุญาตในการทำงานของไฟล์ setuid ที่มีความสามารถในระบบ OverlayFS subsystem ของ Linux kernel ในกรณีที่ผู้ใช้ทำการคัดลอกไฟล์ที่สามารถใช้งานจากการติดตั้ง nosuid ไปยังการติดตั้งอื่น"
ช่องโหว่นี้เป็นประเด็นสำคัญ เนื่องจากเปิดโอกาสให้ผู้โจมตีที่ไม่มีสิทธิ์สามารถยกระดับสิทธิ์ของตนเองบนระบบ Linux ได้ และการที่ถูกนำเข้าสู่รายการ KEV ของ CISA หมายถึงองค์กรต่าง ๆ โดยเฉพาะหน่วยงานของรัฐบาลสหรัฐฯ ควรเร่งดำเนินการแก้ไขช่องโหว่นี้ทันทีเพื่อความปลอดภัยของระบบ
“ข้อผิดพลาดในการแมปค่า UID นี้สามารถทำให้ผู้ใช้ภายในสามารถยกระดับสิทธิ์ของตนบนระบบได้”
ในขณะนี้ยังไม่มีข้อมูลแน่ชัดว่าช่องโหว่ด้านความปลอดภัยนี้ถูกนำมาใช้โจมตีในวงกว้างได้อย่างไร โดย Datadog เผยแพร่รายงานเมื่อเดือนพฤษภาคม 2023 ระบุว่า ช่องโหว่นี้สามารถโจมตีได้ง่ายมาก โดยวิธีการคือ หลอกให้ Kernel สร้างไฟล์ไบนารี SUID ที่เป็นของ root ภายในโฟลเดอร์เช่น /tmp และทำการรันไฟล์นั้น
Datadog ระบุว่า "CVE-2023-0386 เกิดจากการที่เมื่อ kernel คัดลอกไฟล์จาก overlay file system ไปยังไดเรกทอรี 'upper' ระบบไม่ได้ตรวจสอบว่าผู้ใช้ หรือกลุ่มเจ้าของไฟล์นั้นถูกแมปไว้ใน user namespace ปัจจุบันหรือไม่"
เหตุการร์นี้ทำให้ผู้ใช้งานที่ไม่มีสิทธิ์ระดับสูงสามารถลักลอบนำไฟล์ไบนารี SUID จากไดเรกทอรี 'lower' ไปยัง 'upper' ได้ โดยใช้ OverlayFS เป็นตัวกลาง
ต่อมาในปีเดียวกัน บริษัทด้านความปลอดภัยบนคลาวด์ Wiz ได้เปิดเผยรายละเอียดช่องโหว่ด้านความปลอดภัย 2 รายการชื่อ GameOver(lay) (CVE-2023-32629 และ CVE-2023-2640) ที่ส่งผลกระทบต่อระบบ Ubuntu ซึ่งนำไปสู่ผลลัพธ์ที่คล้ายคลึงกับ CVE-2023-0386
วิจัยของ Wiz ระบุว่า "ช่องโหว่เหล่านี้ทำให้สามารถสร้างไฟล์ executable แบบพิเศษ ซึ่งเมื่อดำเนินการแล้วจะสามารถยกระดับสิทธิ์จนถึง root ได้บนเครื่องที่ได้รับผลกระทบ"
ฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) มีข้อกำหนดให้องค์กรภายใต้การกำกับดูแล ดำเนินการอัปเดตแพตช์ที่จำเป็นภายในวันที่ 8 กรกฎาคม 2025 เพื่อรักษาความปลอดภัยของเครือข่ายจากภัยคุกคามที่เกิดขึ้น
ที่มา : thehackernews
You must be logged in to post a comment.