漏洞名称:
Linux Kernel权限提升漏洞(CVE-2023-0386)
组件名称:
Linux Kernel
影响范围:
5.11-rc1 ≤ Linux Kernel ≤ 6.2-rc5
漏洞类型:
权限提升
利用条件:
1、用户认证:低权限用户
2、前置条件:启用OverlayFS子系统且存在nosuid挂载点
3、触发方式:本地
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:高危,能造成权限提升。
官方解决方案:
已发布
漏洞分析
组件介绍
Linux Kernel是Linux操作系统的核心组件,它是一个开源的、免费的、模块化的、多任务的操作系统内核。Linux Kernel提供了操作系统的基本功能,包括进程管理、内存管理、文件系统、网络协议栈、设备驱动程序等。
OverlayFS是Linux内核中的一个文件系统,它是一种联合文件系统,可以将多个不同的文件系统层叠在一起,形成一个虚拟的文件系统。OverlayFS子系统在容器技术中得到了广泛的应用,可以用来实现容器的镜像层叠和容器的文件系统隔离等功能。
漏洞简介
2023年5月8日,深信服安全团队监测到一则Linux Kernel组件存在权限提升漏洞的信息,漏洞编号:CVE-2023-0386,漏洞威胁等级:高危。
该漏洞是由于OverlayFS子系统对于nosuid挂载点及其文件的鉴权存在缺陷,攻击者可利用该漏洞在低权限的情况下,构造恶意数据执行权限提升攻击,最终可以获取服务器root权限。
影响范围
Linux Kernel是Linux操作系统的核心组件,Linux Kernel的开放源代码和模块化设计使得它可以被广泛地应用于各种不同的硬件平台和应用场景中,例如个人电脑、服务器、嵌入式设备、移动设备等,但针对此漏洞,不是所有的Linux内核都支持并默认开启OverlayFS子系统,漏洞的利用存在一定局限性。可能受漏洞影响的资产广泛分布于世界各地。
目前受影响的Linux Kernel版本:
5.11-rc1 ≤ Linux Kernel ≤ 6.2-rc5
解决方案
如何检测组件版本
执行以下命令以获取Linux Kernel版本:
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.kernel.org/
深信服解决方案
1.风险资产发现
支持对 Linux Kernel的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】已发布资产检测方案。
2.漏洞主动检测
支持对Linux Kernel权限提升漏洞(CVE-2023-0386)的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:
【深信服云镜YJ】预计2023年5月30日发布检测方案。
【深信服主机安全检测响应平台CWPP】预计2023年5月15日发布检测方案。
【深信服安全托管服务MSS】预计2023年5月15日发布检测方案。
【深信服安全检测与响应平台XDR】预计2023年5月15日发布检测方案。
参考链接
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=4f11ada10d0a
时间轴
2023/5/8
深信服监测到Linux Kernel权限提升漏洞(CVE-2023-0386)攻击信息。
2023/5/8
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
原文始发于微信公众号(深信服千里目安全技术中心):Linux Kernel权限提升漏洞CVE-2023-0386
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论