La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) colocó el martes un defecto de seguridad que afectó al núcleo de Linux en su conocido catálogo de vulnerabilidades explotadas (KEV), afirmando que ha sido explotado activamente en la naturaleza.
La vulnerabilidad, CVE-2023-0386 (puntaje CVSS: 7.8), es un error de propiedad inadecuado en el kernel de Linux que podría explotarse para aumentar los privilegios en los sistemas susceptibles. Fue parcheado a principios de 2023.
«Linux Kernel contiene una vulnerabilidad inadecuada de la gestión de la propiedad, donde el acceso no autorizado a la ejecución del archivo setUid con capacidades se encontró en el subsistema OverlayFS del kernel de Linux en cómo un usuario copia un archivo capaz de un soporte Nosuid en otro soporte», dijo la agencia.
«Este error de mapeo UID permite a un usuario local escalar sus privilegios en el sistema».
Actualmente no se sabe cómo la falla de seguridad se está explotando en la naturaleza. En un informe publicado en mayo de 2023, Datadog dijo que la vulnerabilidad es trivial para explotar y que funciona al engañar al núcleo para que cree un suid binario propiedad de root en una carpeta como «/TMP» y ejecutándolo.
«CVE-2023-0386 radica en el hecho de que cuando el kernel copió un archivo del sistema de archivos superpuesto al directorio ‘superior’, no verificó si el usuario/grupo poseía este archivo se asignaba en el espacio de nombres del usuario actual», dijo la compañía.
«Esto permite a un usuario no privilegiado de contrabando un binario Suid desde un directorio ‘inferior’ al directorio ‘superior’, utilizando superposiciones como intermediario».
Más tarde ese año, la firma de seguridad en la nube Wiz detalló dos vulnerabilidades de seguridad denominadas Gameover (LAT) (CVE-2023-32629 y CVE-2023-2640) que afectan los sistemas Ubuntu que condujeron a consecuencias similares a CVE-2023-0386.
«Estos defectos permiten la creación de ejecutables especializados que, tras la ejecución, otorgan la capacidad de intensificar los privilegios para rootear la máquina afectada», dijeron los investigadores de Wiz.
Las agencias de la rama ejecutiva civil federal (FCEB) deben aplicar los parches necesarios antes del 8 de julio de 2025, para asegurar sus redes contra las amenazas activas.