Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) издаде спешно предупреждение към федералните агенции относно активно използвана уязвимост (CVE-2023-0386) в подсистемата OverlayFS на Linux ядрото, която позволява на локални атакуващи да ескалират правата си до ниво root.

Какво представлява уязвимостта?

Уязвимостта CVE-2023-0386 е свързана с неправилно управление на собствеността върху файлове с capabilities в OverlayFS. Това е механизъм, използван за наслагване на множество файлови системи. Конкретно, бъгът се проявява, когато потребител копира файл със setuid флаг от nosuid монтирана файлова система в друга точка на системата.

Това позволява на локален потребител да заобиколи ограниченията на Linux kernel и да получи привилегии на root, без да е необходимо отдалечено проникване.

Кои системи са засегнати?

Уязвимостта засяга широк спектър от Linux дистрибуции, включително:

• Debian

• Red Hat

• Ubuntu

• Amazon Linux

• openSUSE

• и други дистрибуции с ядро по-старо от версия 6.2

История и експлоатация

• Поправена: януари 2023 г.

• Публично разкрита: март 2023 г.

• PoC експлойти в GitHub: от май 2023 г., което значително улесни злоупотребите.

• Анализ на Datadog Security Labs: определя експлоита като „тривиален за изпълнение“.

Действия от страна на CISA

CVE-2023-0386 беше добавена към каталога на CISA за вече експлоатирани уязвимости (Known Exploited Vulnerabilities – KEV), което задължава федералните агенции да предприемат действия съгласно директива BOD 22-01.

• Краен срок за пачване: 8 юли 2025 г.

• Обхват: всички системи на агенциите от Federal Civilian Executive Branch (FCEB).

„Този тип уязвимости са чести входни точки  и представляват сериозен риск за сигурността на федералните системи“, подчертава CISA.

Допълнителен контекст: Нова заплаха от Qualys

Почти едновременно с предупреждението на CISA, екипът на Qualys Threat Research Unit (TRU) съобщи за нова верига от локални уязвимости (CVE-2025-6019 и CVE-2025-6018), които също позволяват ескалация до root в основни Linux дистрибуции.

Те са разработили proof-of-concept експлойти, които успешно постигат root достъп в:

• Ubuntu

• Debian

• Fedora

• openSUSE

Какво трябва да направят администраторите?

Администраторите на Linux системи – както в публичния, така и в частния сектор – незабавно трябва да:

• Проверят версиите на ядрото и файловата система OverlayFS

• Обновят ядрата до версия 6.2 или по-нова

• Приложат всички налични пачове

• Мониторинг за подозрително поведение на локални потребители

• Разгледат и други наскоро съобщени LPE уязвимости от Qualys

CVE-2023-0386 представлява сериозна и активна заплаха, особено в среди, където се разчита на локален достъп и изолираност като защита. Достъпът до root означава пълен контрол над системата, включително възможности за скрито внедряване на бекдори, изтриване на логове и странично придвижване в мрежата.

С оглед на широкото използване на Linux в критична инфраструктура и облачни среди, уязвимости като тази трябва да бъдат приоритизирани и адресирани незабавно.