Pesquisadores de segurança cibernética revelaram duas falhas de segurança de alta gravidade no kernel do Ubuntu que podem abrir caminho para ataques de escalonamento de privilégios locais. Conheça o GameOver(lay): duas falhas severas do Linux afetam 40% dos usuários do Ubuntu.
A empresa de segurança em nuvem Wiz, em um relatório compartilhado com o The Hacker News, disse que as deficiências fáceis de explorar têm o potencial de impactar 40% dos usuários do Ubuntu.
“As versões afetadas do Ubuntu prevalecem na nuvem, pois servem como sistemas operacionais padrão para vários [provedores de serviços em nuvem]”, disseram os pesquisadores de segurança Sagi Tzadik e Shir Tamari.
GameOver(lay): duas falhas severas do Linux afetam 40% dos usuários do Ubuntu
As vulnerabilidades – rastreadas como CVE-2023-2640 e CVE-2023-32629 (pontuação CVSS: 7,8) e apelidadas de GameOver(lay) – estão presentes em um módulo chamado OverlayFS e surgem como resultado de verificações inadequadas de permissões em determinados cenários, permitindo um invasor local para obter privilégios elevados.
Overlay Filesystem refere-se a um sistema de arquivos de montagem de união que torna possível combinar várias árvores de diretórios ou sistemas de arquivos em um único sistema de arquivos unificado.
Uma breve descrição das duas falhas está abaixo –
- CVE-2023-2640 – Nos kernels do Ubuntu que carregam c914c0e27eb0 e “UBUNTU: SAUCE: overlayfs: Ignorar verificação de permissão para trust.overlayfs.* xattrs”, um usuário sem privilégios pode definir atributos estendidos privilegiados nos arquivos montados, levando-os a serem definidos nos arquivos superiores sem as verificações de segurança apropriadas.
- CVE-2023-32629 – Vulnerabilidade de escalonamento de privilégios locais nos kernels do Ubuntu overlayfs ovl_copy_up_meta_inode_data ignora verificações de permissão ao chamar ovl_do_setxattr nos kernels do Ubuntu
Em poucas palavras, GameOver(lay) torna possível “criar um arquivo executável com recursos de arquivo com escopo e enganar o Kernel do Ubuntu para copiá-lo para um local diferente com recursos sem escopo, concedendo a qualquer um que o execute privilégios de root”.
Após a divulgação responsável, as vulnerabilidades foram corrigidas pelo Ubuntu em 24 de julho de 2023.
As descobertas ressaltam o fato de que mudanças sutis no kernel do Linux introduzidas pelo Ubuntu podem ter implicações imprevistas, disse Wiz CTO e co-fundador Ami Luttwak em um comunicado compartilhado com a publicação.
“Ambas as vulnerabilidades são exclusivas dos kernels do Ubuntu, pois resultaram de alterações individuais do Ubuntu no módulo OverlayFS”, disseram os pesquisadores, acrescentando que os problemas são comparáveis a outras vulnerabilidades, como CVE-2016-1576, CVE- 2021-3493, CVE–2021 -3847 e CVE-2023-0386.