Almost 40% of Ubuntu users vulnerable to new privilege elevation flaws
2023/07/26 BleepingComputer — 先日に、Ubuntu カーネルに取り込まれてしまった2つの Linux 脆弱性により、権限のないローカル・ユーザーによる昇格昇格が、発生する可能性が生じている。Ubuntu は、最も広く利用されている Linux ディストリビューションの1つであり、特に米国では人気が高く、約 4000万人以上のユーザーを抱えている。Wiz の研究者である S. Tzadik と S. Tamari により発見された、脆弱性 CVE-2023-32629/CVE-2023-2640 が、このオペレーティング・システムに取り込まれてしまったことで、Ubuntu のユーザー・ベースの約 40% に影響が生じている。 v
Ubuntu Linux カーネルに存在する、不適切なパーミッション・チェックの脆弱性 CVE-2023-2640 (CVSS:7.8) により、ローカルの攻撃者が特権を得ることが可能になる。
また、Linux カーネルのメモリ管理サブシステムに存在する、脆弱性 CVE-2023-32629 (CVSS:5.4) は、VMA にアクセスする際の競合状態に起因する use-after-free を引き起こし、ローカルの攻撃者に任意のコード実行を許してしまう可能性がある。
Wiz の2人のアナリストは、Linux カーネルへの OverlayFS モジュールの実装に矛盾があることを発見し、この問題の解明へと至った。
OverlayFS は Union Mount Filesystem の実装であり、ユーザー・ネーム・スペース経由で非特権アクセスを可能にするものであり、悪用されやすいバグに悩まされ、過去においても脅威あアクターたちに狙われてきた。
OverlayFS を使用しているディストリビューションの1つである Ubuntu は、2018年に OverlayFS モジュールにカスタム変更を実装しており、概ね安全であった。
しかし、2019年と2022年に Linux カーネル・プロジェクトが、モジュールに独自の修正を加えたことで、Ubuntu による変更と衝突が生じている。最近になって Ubuntu は、それらの変更を含むコードを採用したことで、2つの脆弱性を取り込むことになった。
残念なことに、この2つの脆弱性に関しては、以前から PoC エクスプロイトが公開されているため、悪用のリスクが差し迫っている。
Wiz の研究者たちは、「どちらの脆弱性も、OverlayFS モジュールに対する Ubuntu 固有の変更に起因しているため、Ubuntu カーネルだけのものとなる。過去における OverlayFS の脆弱性に対する古いエクスプロイトが、何の変更もなく動作することから、これらの脆弱性に対する武器化されたエクスプロイトは、すでに公開されていると捉えるべきだ」と警告している。
この2つの欠陥が影響を与えるのは Ubuntu のみであり、Ubuntu のフォークを含む、その他の Linux ディストリビューションにおいて、OverlayFS モジュールのカスタム修正を行っていないものは安全であることに注意すべきだ。
Ubuntu は、Ubuntu Linux カーネルの最新バージョンにより、この問題は対処されている。さらに、6件の脆弱性に関するセキュリティ・アップデートも提供されている。
サードパーティ製カーネルモジュールの再インストールや有効化の方法がわからないユーザーに対しては、パッケージ・マネージャー経由でのアップデートが推奨される。Ubuntu における Linux カーネル・アップデートを有効化するには、インストール後に再起動が必要である。
OverlayFS というファイル・システムに対する、Ubuntu と Linux の考え方の違いにより、この脆弱性 CVE-2023-32629/CVE-2023-2640 が発生しているとのことです。そして、Ubuntu ユーザーの 40% が対象となっているようなので、ご利用の方は確認が必要です。よろしければ、Ubuntu で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.