Nguyễn Đức Thao
Intern Writer
Lỗ hổng leo thang đặc quyền đe dọa nhiều hệ thống Linux
Vào thứ Ba vừa qua, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa lỗ hổng bảo mật CVE-2023-0386 (điểm CVSS: 7.8) vào danh sách Lỗ hổng đã biết bị khai thác (KEV). Điều này có nghĩa là lỗ hổng đang bị các đối tượng xấu tích cực khai thác trong thực tế.
CVE-2023-0386 là một lỗi sở hữu không đúng trong nhân Linux, cho phép tin tặc leo thang đặc quyền trên các hệ thống dễ bị tấn công. Mặc dù lỗ hổng đã được vá từ đầu năm 2023, nhưng nguy cơ vẫn còn khi nhiều hệ thống chưa cập nhật kịp thời.
CISA cho biết, lỗi xảy ra trong hệ thống con OverlayFS của nhân Linux – nơi mà việc sao chép tệp từ một phân vùng mount có cờ nosuid sang một phân vùng khác có thể cho phép thực thi trái phép các tệp setuid. Về cơ bản, lỗ hổng này giúp người dùng cục bộ có thể nâng cao quyền hạn trên hệ thống một cách bất hợp pháp.
Cách thức khai thác và ảnh hưởng trên thực tế
Hiện chưa rõ chi tiết cụ thể về cách thức khai thác trong thực tế, nhưng theo báo cáo của Datadog vào tháng 5 năm 2023, lỗ hổng này được đánh giá là rất dễ khai thác. Kẻ tấn công có thể lợi dụng nó để buộc nhân hệ điều hành tạo một tệp nhị phân SUID do root sở hữu trong thư mục tạm như /tmp, sau đó thực thi tệp này để giành quyền truy cập cao nhất.
Lỗi nằm ở quá trình nhân Linux sao chép tệp từ hệ thống tệp lớp phủ vào thư mục phía trên mà không kiểm tra xem quyền sở hữu có được ánh xạ hợp lệ trong không gian tên người dùng hiện tại hay không. Điều này cho phép người dùng không có quyền đặc biệt chuyển mã nhị phân SUID từ thư mục ‘thấp hơn’ sang ‘cao hơn’, sử dụng OverlayFS làm cầu nối.
Vào cuối năm 2023, công ty bảo mật đám mây Wiz cũng đã chỉ ra hai lỗ hổng tương tự có tên GameOver(lay) (CVE-2023-32629 và CVE-2023-2640) ảnh hưởng đến hệ thống Ubuntu. Những lỗ hổng này cũng cho phép tạo các tệp thực thi chuyên biệt có thể nâng cao đặc quyền lên root khi được thực thi.
Trước mối đe dọa rõ ràng này, các cơ quan thuộc nhánh hành pháp dân sự liên bang Hoa Kỳ (FCEB) được yêu cầu phải cập nhật bản vá trước ngày 8/7/2025 nhằm bảo vệ hệ thống khỏi các cuộc tấn công đang tiếp diễn.
Vào thứ Ba vừa qua, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa lỗ hổng bảo mật CVE-2023-0386 (điểm CVSS: 7.8) vào danh sách Lỗ hổng đã biết bị khai thác (KEV). Điều này có nghĩa là lỗ hổng đang bị các đối tượng xấu tích cực khai thác trong thực tế.
CVE-2023-0386 là một lỗi sở hữu không đúng trong nhân Linux, cho phép tin tặc leo thang đặc quyền trên các hệ thống dễ bị tấn công. Mặc dù lỗ hổng đã được vá từ đầu năm 2023, nhưng nguy cơ vẫn còn khi nhiều hệ thống chưa cập nhật kịp thời.
CISA cho biết, lỗi xảy ra trong hệ thống con OverlayFS của nhân Linux – nơi mà việc sao chép tệp từ một phân vùng mount có cờ nosuid sang một phân vùng khác có thể cho phép thực thi trái phép các tệp setuid. Về cơ bản, lỗ hổng này giúp người dùng cục bộ có thể nâng cao quyền hạn trên hệ thống một cách bất hợp pháp.
Cách thức khai thác và ảnh hưởng trên thực tế
Hiện chưa rõ chi tiết cụ thể về cách thức khai thác trong thực tế, nhưng theo báo cáo của Datadog vào tháng 5 năm 2023, lỗ hổng này được đánh giá là rất dễ khai thác. Kẻ tấn công có thể lợi dụng nó để buộc nhân hệ điều hành tạo một tệp nhị phân SUID do root sở hữu trong thư mục tạm như /tmp, sau đó thực thi tệp này để giành quyền truy cập cao nhất.
Lỗi nằm ở quá trình nhân Linux sao chép tệp từ hệ thống tệp lớp phủ vào thư mục phía trên mà không kiểm tra xem quyền sở hữu có được ánh xạ hợp lệ trong không gian tên người dùng hiện tại hay không. Điều này cho phép người dùng không có quyền đặc biệt chuyển mã nhị phân SUID từ thư mục ‘thấp hơn’ sang ‘cao hơn’, sử dụng OverlayFS làm cầu nối.
Vào cuối năm 2023, công ty bảo mật đám mây Wiz cũng đã chỉ ra hai lỗ hổng tương tự có tên GameOver(lay) (CVE-2023-32629 và CVE-2023-2640) ảnh hưởng đến hệ thống Ubuntu. Những lỗ hổng này cũng cho phép tạo các tệp thực thi chuyên biệt có thể nâng cao đặc quyền lên root khi được thực thi.
Trước mối đe dọa rõ ràng này, các cơ quan thuộc nhánh hành pháp dân sự liên bang Hoa Kỳ (FCEB) được yêu cầu phải cập nhật bản vá trước ngày 8/7/2025 nhằm bảo vệ hệ thống khỏi các cuộc tấn công đang tiếp diễn.
