CISA警告组织修补被恶意软件利用的Linux 内核漏洞

美国网络安全和基础设施安全局 (CISA) 周四在其已知利用漏洞目录中添加了一个 Linux 内核漏洞，并指示联邦机构在三周内解决该问题。

该漏洞被跟踪为 CVE-2021-3493，它与 Linux 内核中的 OverlayFS 文件系统实现有关。它允许非特权本地用户获得 root 权限，但它似乎只影响 Ubuntu。

CVE-2021-3493 已在野外被名为Shikitega的隐秘 Linux 恶意软件利用，AT&T Alien Labs 的研究人员在 9 月初详细介绍了该恶意软件。Shikitega 旨在针对运行 Linux 的端点和物联网设备，允许攻击者完全控制系统。它还被用于将加密货币矿工下载到受感染的设备上。

作为恶意软件感染链的一部分，两个 Linux 漏洞被用于提权：CVE-2021-3493 和 CVE-2021-4034。

CVE-2021-4034 被命名为PwnKit，会影响 Polkit 的 Pkexec，这是一个在所有 Linux 发行版中都可以找到的 SUID 根程序。CISA 警告说，这个漏洞在 6 月份的攻击中被利用。思科在最近的一份报告中提到了利用，该报告描述了一个针对 Windows、Linux 和 macOS 系统的攻击框架及其相关 RAT。

Shikitega 的存在曝光时发布的新闻报道集中在恶意软件本身，并没有强调这似乎是第一个已知的 CVE-2021-3493 实例被用于恶意目的的事实。

CISA 现在已将该漏洞添加到其已知的已利用漏洞目录中，并已指示联邦机构在 11 月 10 日之前修补其系统。虽然具有约束力的操作指令要求联邦机构修复这些漏洞，但 CISA 强烈敦促所有组织优先考虑修补漏洞在其目录中列出。

此外，CISA 在目录中添加了最近的 Zimbra 漏洞。安全漏洞仅在漏洞利用开始后才被修补。

什么是 OverlayFS？

OverlayFS是一个 Linux 内核模块，它允许系统将多个挂载点组合为一个，以便可以访问一个目录结构中每个挂载点的所有文件。

这通常由实时 USB 或其他一些专业应用程序使用。一种用途是拥有一个只读的根文件系统，另一个分区“覆盖”它以允许应用程序写入临时文件系统。

---

OverlayFS 如何易受攻击？

Linux 内核中的 OverlayFS 实现未正确验证用户命名空间和底层系统中文件的文件功能设置。由于非特权用户命名空间和 Ubuntu 内核中携带的补丁的组合，以允许非特权覆盖挂载。攻击者可以使用它来获得提升的权限。

这个漏洞特别严重，因为 OverlayFS 是一个内核模块，默认安装在Ubuntu 1804 服务器上。如果系统易受攻击，只要他们可以运行二进制文件，就可以很容易地从任何用户升级到root 。如果机器上没有安装 C 编译器，他们可以在其他地方静态编译二进制文件，然后只复制二进制文件。

但是，幸运的是，Linux 的不同发行版不受影响，因为这个问题很可能是 Ubuntu 特有的，因为 Ubuntu 带有一个补丁来启用非特权 OverlayFS 挂载。

为了更好地了解，我们提供了一份报告受上述漏洞影响的 Ubuntu 版本列表。

受影响的版本

• Ubuntu 20.10

• Ubuntu 20.04 LTS

• Ubuntu 18.04 LTS

• Ubuntu 16.04 LTS

• Ubuntu 14.04 ESM

尽管无法远程利用，但已经通过其他方式在系统上建立立足点的攻击者可以利用此漏洞充分利用其优势，以获得完整的root 权限。

原文始发于微信公众号（祺印说信安）：CISA警告组织修补被恶意软件利用的Linux 内核漏洞