Recientemente se han observado nuevas vulnerabilidades en Linux, las vulnerabilidades afectan directamente al kernel de Ubuntu y permitirá a un usuario local no privilegiado ganar privilegios más elevados en una gran cantidad de dispositivos vulnerables.
Entre las distribuciones de Linux más ampliamente utilizadas por los usuarios, se puede resaltar Ubuntu, la cual resulta extremadamente popular entre usuarios de Estados Unidos. Según primeros acercamientos, los usuarios que utilizan Ubuntu resultan ser mas de 40 millones. Esta masiva cantidad de usuarios convierte al kernel de dicha distribución, un objetivo deseable, por actores maliciosos.
Las dos vulnerabilidades en cuestión afectan exclusivamente al kernel de Ubunto, esto debido a los cambios que este introdujera al módulo de OverlayFS en el 2018. Al momento de la implementación de dichos cambios, estos no presentaban ningún problema, en cuestión de seguridad, sin embargo, una vulnerabilidad en el kernel de Linux, se realizaron actualizaciones y un problema vulnerable en Ubuntu nunca habría sido arreglado.
El hecho de que existan varias versiones de Ubuntu hoy en día hace difícil el determinar cuales de las versiones se encuentran vulnerables a los fallos en el módulo OverlayFS. A continuación, se pueden observar un breve resumen de las versiones afectadas.
Si bien en la tabla de arriba, muestra algunos reléase, según pase el tiempo, se podrían agregar otros.
OverlayFS en Linux, es un sistema de archivos de unión que coloca un sistema de archivos encima de otro, permitiendo la modificación de archivos sin alterar la base, OverlayFS es usualmente utilizado en escenarios de contenedores Docker, mantiene intacta la imagen de base y almacena los cambios en una capa separada. Sin embargo, esta flexibilidad hace que OverlayFS sea un problema potencial de seguridad, así como una superficie de ataque interesante.
Las dos vulnerabilidades, ahora rastreadas como CVE-2023-32629 y CVE-2023-2640 dichas han sido recientemente agregadas al sistema operativo de Ubuntu, lo que ha impactado alrededor de 40% de los usuarios de dicho OS.
Las vulnerabilidades en cuestión, como brevemente se ha mencionado, son CVE-2023-2640 Y CVE-2023-32629.
La primera de estas vulnerabilidades (CVE-2023-2640) resulta ser una vulnerabilidad en el kernel de Ubuntu, resultado de un chequeo de permisos inadecuado, lo que permitiría que un atacante conseguir elevación de privilegios en el sistema comprometido. Esta vulnerabilidad ha sido catalogada como alta y se le ha asignado una puntuación CVSSv3 7.8/10.
La segunda vulnerabilidad (CVE-2023-32629) resulta ser una deficiencia en el subsistema de gestión de memoria donde una condición de carrera al acceder a VMAs puede llevar al use-after-free, lo que permitiría a un atacante conducir ataques de ejecución de código arbitrario. Esta vulnerabilidad ha sido catalogada como media y se le ha asignado una puntuación CVSS 5.4/10.
El descubrimiento de ambas vulnerabilidades se da en el margen del descubrimiento de discrepancias a la hora de la implementación del módulo OverlayFS en el kernel de Linux. OverlayFS es un sistema de archivos de montaje de unión, el cual los actores maliciosos tienen como objetivo desde hace mucho tiempo, debido a que este permite acceso no privilegiado mediante espacios de nombres de usuario y, a su vez, se encuentra plagado de bugs fácilmente explotables.
Todo reside en implementaciones que Ubuntu hiciera al módulo de OverlayFS en el 2018, el cual resultaría, en términos generales, seguro. Sin embargo, posterior a algunas modificaciones que hicieran por su parte el proyecto de kernel de Linux al módulo, resultaría en algunos conflictos directamente con los cambios realizados por Ubuntu en su momento.
