Linux 内核 OverlayFS 漏洞 (CVE-2023-0386) 被利用来提升 Root 权限

admin 2025年6月20日00:38:38评论18 views字数 1057阅读3分31秒阅读模式
Linux 内核 OverlayFS 漏洞 (CVE-2023-0386) 被利用来提升 Root 权限
Linux 内核 OverlayFS 漏洞 (CVE-2023-0386) 被利用来提升 Root 权限

美国网络安全和基础设施安全局 (CISA) 已正式将 Linux 内核中的一个严重漏洞CVE-2023-0386添加到其已知可利用漏洞 (KEV) 目录中。尽管该漏洞已于 2023 年初得到修补,但近几个月来实际利用率激增。

该漏洞存在于 OverlayFS 子系统——一种用于合并多个文件系统层的机制,广泛应用于容器化环境和实时发行版。当提升权限的可执行文件在已挂载的卷之间传输时,会触发此漏洞。系统未能验证用户是否属于正确的命名空间,从而导致未经授权的权限提升。

根据 Datadog 于 2023 年 5 月发布的报告,利用此漏洞非常简单。攻击者可以在目录中创建一个带有 SUID 标志的文件,例如/tmp,从而有效地获得 root 级权限。这种简单性使得该漏洞特别容易被自动化利用工具广泛利用。

尽管开发人员迅速修复了该漏洞,但 CISA 记录显示,恶意行为者在 2024 年仍在继续利用该漏洞。虽然确切的策略尚未披露,但将其纳入 KEV 目录无疑表明该漏洞正在被积极利用。

该漏洞破坏了 Linux 的一项基础安全功能——命名空间,该功能旨在隔离用户权限和进程域。由于分层文件系统处理存在缺陷,攻击者可以在各层之间迁移可执行文件,并以管理员权限运行它们。这在多用户环境和容器化架构中构成了严重风险。

进一步加剧威胁的是,Wiz 的研究人员发现了两个相邻的漏洞——CVE-2023-32629 和 CVE-2023-2640,统称为 GameOver(lay)。这两个漏洞同样利用 OverlayFS 逻辑故障,允许创建以系统级权限运行的可执行文件,其风险概况与 CVE-2023-0386 类似。

鉴于威胁不断升级,CISA 已要求所有联邦民事行政部门 (FCEB) 机构在 2025 年 7 月 8 日之前应用相关补丁。该指令旨在遏制攻击的可能性并增强政府 IT 基础设施抵御权限提升技术的能力。

然而,危险远不止于政府系统。任何使用易受攻击的 OverlayFS 实现的 Linux 基础设施仍然暴露在外,尤其是面向公众的服务器、云环境以及严重依赖强大隔离机制的 CI/CD 管道。

即使安装了 AppArmor 或 SELinux 等安全框架,如果内核版本过旧,漏洞依然可以绕过保护措施。这种攻击的自主性——无需外部库,仅利用现有系统工具——进一步放大了风险。

真正的网络安全超越防火墙和防病毒软件;它要求对系统组件进行严格的版本控制,并对 SUID 文件权限进行细致的审核,尤其是在开放和分布式生态系统中。

原文始发于微信公众号(Ots安全):Linux 内核 OverlayFS 漏洞 (CVE-2023-0386) 被利用来提升 Root 权限

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月20日00:38:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Linux 内核 OverlayFS 漏洞 (CVE-2023-0386) 被利用来提升 Root 权限https://cn-sec.com/archives/4183244.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息