சமீபத்திய நாட்களில், அமெரிக்க சைபர் பாதுகாப்பு மற்றும் உள்கட்டமைப்பு பாதுகாப்பு நிறுவனம் (CISA), செயலில் சுரண்டல் குறித்து அவசர எச்சரிக்கையை வெளியிட்டுள்ளது. பாதிப்பு CVE-2023-0386, லினக்ஸ் கர்னலில் கண்டறியப்பட்டது. அதிக தீவிரத்தன்மை கொண்டதாக மதிப்பிடப்பட்ட இந்த பாதிப்பு, OverlayFS துணை அமைப்பிற்குள் உரிமை அனுமதிகளை நிர்வகிப்பதில் உள்ள குறைபாடாக அடையாளம் காணப்பட்டுள்ளது. சுரண்டல் உள்ளூர் பயனர்கள் சலுகைகளை அதிகரிக்கவும் நிர்வாகி அணுகலைப் பெறவும் அனுமதிக்கிறது, இதனால் பாதிக்கப்பட்ட எந்தவொரு லினக்ஸ் அமைப்பையும் ஆபத்தில் ஆழ்த்துகிறது.
இந்தப் பிழை மிகவும் கவலையளிக்கிறது ஏனெனில் இது சர்வர்கள் மற்றும் மெய்நிகர் இயந்திரங்கள் முதல் மேகம் வரை பல்வேறு வகையான சூழல்களைப் பாதிக்கிறது., கண்டெய்னர்கள் மற்றும் லினக்ஸ் (WSL) வரிசைப்படுத்தல்களுக்கான விண்டோஸ் துணை அமைப்புகளுக்கும் கூட. பயனர்களிடையே சலுகைப் பிரிவு மிக முக்கியமானதாக இருக்கும் இந்த வகையான சூழ்நிலைகள், பொருத்தமான இணைப்புகள் பயன்படுத்தப்படாவிட்டால் தீவிரமாக சமரசம் செய்யப்படலாம்.
CVE-2023-0386 பாதிப்பு என்ன?
பிரச்சினையின் தோற்றம் வெவ்வேறு மவுண்ட் பாயிண்டுகளுக்கு இடையில் சிறப்பு திறன்களுடன் கோப்பு நகல் செயல்பாடுகளை OverlayFS எவ்வாறு கையாளுகிறது என்பதில் உள்ளது.குறிப்பாக, ஒரு பயனர் உயர்ந்த அனுமதிகளுடன் ஒரு கோப்பை மவுண்டாக உள்ளமைக்கப்பட்டதிலிருந்து நகலெடுத்தால் nosuid மற்றொரு மவுண்டிற்குச் சென்றால், செயல்பாட்டின் போது கர்னல் செட்யூட் மற்றும் செட்ஜிட் பிட்களை சரியாக அகற்றாது. இது வழக்கமான கட்டுப்பாடுகளைத் தவிர்த்து, ரூட் அனுமதிகளுடன் கோப்புகளை இயக்க ஏற்கனவே உள்ளூர் அணுகலைக் கொண்ட தாக்குபவர்களுக்கு கதவைத் திறக்கிறது.
பாதிப்பு 6.2-rc6 க்கு முந்தைய கர்னல் பதிப்புகளைப் பாதிக்கிறது. OverlayFS மற்றும் பயனர் பெயர்வெளிகள் இயக்கப்பட்டிருக்கும். Debian, Ubuntu, Red Hat மற்றும் Amazon Linux போன்ற பரவலாகப் பயன்படுத்தப்படும் விநியோகங்கள் தொடர்புடைய புதுப்பிப்பைப் பெறவில்லை என்றால் பாதிக்கப்படக்கூடிய அமைப்புகளின் பட்டியலில் உள்ளன. மேலும், மே 2023 முதல் GitHub இல் கருத்துச் சான்றுகள் (PoC) வெளியிடப்பட்டதன் மூலம் குறைபாட்டை எளிதாகப் பயன்படுத்தலாம் என்பது நிரூபிக்கப்பட்டுள்ளது, இது சுரண்டல் முயற்சிகளில் வியத்தகு அதிகரிப்புக்கு வழிவகுத்தது.
முக்கியமான சூழல்களில் நோக்கம் மற்றும் ஆபத்துகள்
OverlayFS இல் CVE-2023-0386 ஒரு சொத்து மேலாண்மை பலவீனமாக (CWE-282) வகைப்படுத்தப்பட்டது., மேலும் பல குத்தகைதாரர் அமைப்புகள், நிறுவனங்கள் அல்லது கிளவுட் தளங்களில் கூட பயனர் எல்லைகளைத் தவிர்ப்பதற்குப் பயன்படுத்தப்படலாம். இயற்பியல் அல்லது மெய்நிகர் இயந்திரங்கள், கொள்கலன்கள் அல்லது கோப்புப் பகிர்வை நம்பியிருக்கும் உள்கட்டமைப்புகளில் எதுவாக இருந்தாலும், உள்ளூர் சலுகைகளை உயர்த்துவதற்கான எளிமை காரணமாக இந்தக் குறைபாடு கணிசமான ஆபத்தை ஏற்படுத்துகிறது.
டேட்டாடாக் மற்றும் குவாலிஸ் போன்ற பாதுகாப்பு நிறுவனங்களின் பல பகுப்பாய்வுகளின்படி, சுரண்டல் என்பது அற்பமானது. தாக்குதலைத் தூண்டுவதற்கு உள்ளூர் அணுகல் போதுமானது, கூடுதல் தொடர்பு தேவையில்லை. இது உள் தாக்குபவர்கள், சமரசம் செய்யப்பட்ட செயல்முறைகள் அல்லது நிர்வாக சலுகைகள் இல்லாத பயனர்கள் செயல்பட அனுமதிக்கப்பட்ட சூழ்நிலைகளுக்கு இது ஒரு சிறந்த திசையனாக அமைகிறது. உண்மையில், இன்னும் பேட்ச் செய்யப்படாத அமைப்புகளைத் தேடி சுரண்டும் தானியங்கி பிரச்சாரங்கள் காணப்படுகின்றன, குறிப்பாக பொது கருவிகள் மற்றும் சுரண்டல்கள் வெளியான பிறகு.
தொழில்துறை பதில் மற்றும் புதுப்பிப்புகள்
இந்தப் பிழை 2023 ஆம் ஆண்டின் தொடக்கத்தில் மிக்லோஸ் செரெடியால் புகாரளிக்கப்பட்டு சரி செய்யப்பட்டது., லினக்ஸ் கர்னலில் ஒரு முக்கிய டெவலப்பர், ஒரு பிரத்யேக கமிட் (ஐடி: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3) வழியாக. இந்த பேட்ச் நகல் செயல்பாடுகளின் போது பயனர் மற்றும் குழு சரிபார்ப்பை இறுக்கமாக்குகிறது, தற்போதைய பெயர்வெளியில் UID அல்லது GID மேப்பிங் செல்லாததாக இருந்தால் தொடர்ச்சியைத் தடுக்கிறது. இது POSIX ACLகளுடன் நிலைத்தன்மையை உறுதி செய்வதற்கும், இயல்புநிலை UID/GID 65534 ஒதுக்கப்பட்ட சூழ்நிலைகளைத் தடுப்பதற்கும் நோக்கமாக உள்ளது, இது கையாளப்படலாம்.
பாதிக்கப்பட்ட தயாரிப்புகளை விவரிக்கும் ஆலோசனைகளை முதலில் வெளியிட்டவர்களில் நெட்ஆப் போன்ற உற்பத்தியாளர்களும் அடங்குவர்., முன்-பேட்ச் செய்யப்பட்ட கர்னல் பதிப்புகளை ஒருங்கிணைக்கும் பல கட்டுப்படுத்தி மாதிரிகள் மற்றும் தயாரிப்புகள் உட்பட. சுரண்டல் தரவு அணுகல், தகவல் மாற்றம் அல்லது சேவை மறுப்பு (DoS) தாக்குதல்களுக்கு வழிவகுக்கும் என்பதை அவை உறுதிப்படுத்துகின்றன. Red Hat மற்றும் பிற விற்பனையாளர்களும் புதுப்பிக்கத் தொடங்கியுள்ளனர். இந்த பாதிப்பை நிவர்த்தி செய்ய.
இந்த பாதிப்புக்கு எதிராக உங்களைப் பாதுகாத்துக் கொள்வதற்கான பரிந்துரைகள் மற்றும் அவசர நடவடிக்கைகள்.
அமெரிக்க சைபர் பாதுகாப்பு மற்றும் உள்கட்டமைப்பு பாதுகாப்பு நிறுவனம் (CISA), CVE-2023-0386 ஐ அதன் சுரண்டப்பட்ட பாதிப்புகளின் பட்டியலில் சேர்த்துள்ளது, மேலும் அமெரிக்க கூட்டாட்சி நிறுவனங்கள் ஜூலை 8, 2025 க்குள் புதுப்பிக்க வேண்டும் என்று கோருகிறது. மற்ற அனைத்து நிறுவனங்கள் மற்றும் பயனர்களுக்கும், பரிந்துரை தெளிவாக உள்ளது:
- பிழை சரி செய்யப்படுவதை உறுதிசெய்ய Linux kernel 6.2-rc6 அல்லது அதற்கு மேற்பட்ட பதிப்பிற்கு மேம்படுத்தவும்.
- குறிப்பாக கொள்கலன்கள், பல பயனர்கள் அல்லது முக்கியமான உள்கட்டமைப்பு உள்ள சூழல்களில், அசாதாரண சலுகை நடத்தைக்கான அமைப்புகளைக் கண்காணிக்கவும்.
- பேட்சை உடனடியாகப் பயன்படுத்த முடியாத சூழல்களில், OverlayFS ஐ தற்காலிகமாக முடக்குவது அல்லது நிர்வாகமற்ற பயனர்களுக்கு உள்ளூர் அணுகலை முடிந்தவரை கட்டுப்படுத்துவது பரிந்துரைக்கப்படுகிறது.
- அதிகாரப்பூர்வ அறிவிப்புகள் மற்றும் பட்டியல்களை (CISAவின் KEV) பார்த்து, பாதிப்பை முன்னுரிமையாகக் கருதுங்கள்.
ஒதுக்கப்பட்ட தாக்குதல் திசையன் CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H உடன் ஒத்துள்ளது., வெற்றிகரமாகப் பயன்படுத்தப்பட்டால் ரகசியத்தன்மை, ஒருமைப்பாடு மற்றும் கிடைக்கும் தன்மை ஆகியவற்றில் அதிக சாத்தியமான தாக்கத்தை பிரதிபலிக்கிறது.
இந்த பாதிப்பு, குறிப்பாக நிறுவன சூழல்களில் அல்லது முக்கியமான தரவுகளைக் கையாளும் சூழல்களில், லினக்ஸ் அமைப்புகளை தொடர்ந்து புதுப்பித்து கண்காணிப்பதன் முக்கியத்துவத்தை அடிக்கோடிட்டுக் காட்டுகிறது. சுரண்டலுக்கு உள்ளூர் அணுகல் தேவைப்பட்டாலும், பொது PoCகள் மற்றும் தானியங்கி தாக்குதல்கள் இருப்பது எந்தவொரு பாதிக்கப்படக்கூடிய நிகழ்வுகளையும் விரைவாக சரிசெய்வதற்கான அவசரத்தை அதிகரிக்கிறது. இந்த சூழ்நிலைகளில் ரூட் செய்வதற்கான சலுகைகளை அதிகரிப்பது உள்கட்டமைப்பின் மீதான முழுமையான கட்டுப்பாட்டை இழக்க வழிவகுக்கும்.
