Segundo os pesquisadores S. Tzadik e S. Tamari da Wiz, o Ubuntu está vulnerável a duas falhas de elevação de privilégio.
O Ubuntu é uma das distribuições Linux mais usadas, especialmente popular nos EUA, com uma base de usuários aproximada de mais de 40 milhões.
Porém, duas vulnerabilidades do Linux introduzidas recentemente no kernel do Ubuntu criam o potencial para usuários locais sem privilégios obterem privilégios elevados em um grande número de dispositivos.
Ubuntu está vulnerável a duas falhas de elevação de privilégio
Duas falhas recentes rastreadas como CVE-2023-32629 e CVE-2023-2640 descobertas pelos pesquisadores da Wiz, S. Tzadik e S. Tamari, foram recentemente introduzidas no sistema operacional, impactando cerca de 40% da base de usuários do Ubuntu.
CVE-2023-2640 é uma vulnerabilidade de alta gravidade (pontuação CVSS v3: 7,8) no kernel do Ubuntu Linux causada por verificações de permissão inadequadas, permitindo que um invasor local obtenha privilégios elevados.
CVE-2023-32629 é uma falha de gravidade média (pontuação CVSS v3: 5,4) no subsistema de gerenciamento de memória do kernel do Linux, em que uma condição de corrida ao acessar VMAs pode levar ao uso após a liberação, permitindo que um invasor local execute código arbitrário execução.
Os dois analistas encontraram os problemas depois de descobrir discrepâncias na implementação do módulo OverlayFS no kernel do Linux.
OverlayFS é uma implementação de sistema de arquivos de montagem de união visada por agentes de ameaças muitas vezes no passado devido a permitir acesso não privilegiado por meio de namespaces de usuário e ser atormentado por bugs facilmente exploráveis.
O Ubuntu, como uma das distribuições que usa OverlayFS, implementou alterações personalizadas em seu módulo OverlayFS em 2018, que geralmente eram seguras.
No entanto, em 2019 e 2022, o projeto do kernel Linux fez suas próprias modificações no módulo, o que entrou em conflito com as alterações do Ubuntu.
A ampla distribuição adotou o código contendo essas mudanças recentemente, e os conflitos causaram a introdução das duas falhas.
Infelizmente, o risco de exploração é iminente, pois os PoCs para as duas falhas estão disponíveis publicamente há muito tempo.
“Ambas as vulnerabilidades são exclusivas dos kernels do Ubuntu, pois resultaram de alterações individuais do Ubuntu no módulo OverlayFS”, alertaram os pesquisadores do Wiz.
“Exploits armados para essas vulnerabilidades já estão disponíveis ao público, dado que exploits antigos para vulnerabilidades anteriores do OverlayFS funcionam imediatamente sem nenhuma alteração.”
Deve-se notar que as duas falhas destacadas afetam apenas o Ubuntu, e qualquer outra distribuição Linux, incluindo forks do Ubuntu, que não use modificações personalizadas do módulo OverlayFS deve ser segura.
O Ubuntu lançou um boletim de segurança sobre os problemas e mais seis vulnerabilidades abordadas na versão mais recente do kernel do Ubuntu Linux e disponibilizou atualizações de correção.
Recomenda-se aos usuários que não sabem como reinstalar e ativar módulos de kernel de terceiros que realizem a atualização por meio de seu gerenciador de pacotes, que deve cuidar de todas as dependências e configurações pós-instalação.
Uma reinicialização é necessária após a instalação das atualizações para que a atualização do kernel do Linux entre em vigor no Ubuntu.