A cikin 'yan kwanakin nan, Hukumar Tsaro ta Intanet da Tsaro ta Amurka (CISA) ta ba da sanarwar gaggawa game da yadda ake cin gajiyar ayyukan ta'addanci. damuwa CVE-2023-0386, gano a cikin Linux kwaya. Wannan raunin, wanda aka ƙididdige shi azaman babban tsanani, an gano shi azaman aibi a cikin sarrafa izinin mallaka a cikin tsarin ƙasa na OverlayFS. Yin amfani yana ba masu amfani da gida damar haɓaka gata da samun damar gudanarwa, sanya duk wani tsarin Linux da ya shafa cikin haɗari.
Kuskuren yana da damuwa musamman saboda Yana rinjayar yanayi iri-iri, daga sabar da injunan kama-da-wane zuwa gajimare., zuwa kwantena har ma da Windows Subsystem don Linux (WSL) tura kayan aiki. Waɗannan nau'ikan al'amuran, inda rarrabuwar gata tsakanin masu amfani ke da mahimmanci, ana iya samun matsala sosai idan ba a yi amfani da facin da suka dace ba.
Menene raunin CVE-2023-0386?
Asalin matsalar ya ta'allaka ne kan yadda OverlayFS ke sarrafa ayyukan kwafin fayil tare da iyawa ta musamman tsakanin wuraren tsaunuka daban-daban. Musamman, idan mai amfani ya kwafi fayil tare da izini masu girma daga dutsen da aka saita azaman nosuid zuwa wani dutsen, kernel ɗin baya cire tsattsauran raƙuman saiti da saiti daidai lokacin aikin. Wannan yana buɗe kofa ga maharin wanda ya riga ya sami damar gida don aiwatar da fayiloli tare da izini tushen tushe, yana ƙetare ƙuntatawa da aka saba.
Ularfafawa Yana shafar nau'ikan kernel kafin 6.2-rc6 waɗanda ke da OverlayFS da wuraren sunaye suna kunna. Rarraba da aka yi amfani da su sosai kamar Debian, Ubuntu, Red Hat, da Amazon Linux suna cikin jerin tsarin da ba su da ƙarfi idan ba su sami sabuntawa daidai ba. Bugu da ƙari kuma, an nuna sauƙin da za a iya amfani da lahani tare da buga hujjoji na ra'ayi (PoC) akan GitHub tun daga Mayu 2023, wanda ya haifar da karuwa mai ban mamaki a ƙoƙarin cin nasara.
Iyaka da hatsarori a cikin mahalli masu mahimmanci
CVE-2023-0386 an kasafta shi azaman raunin sarrafa dukiya (CWE-282) a cikin OverlayFS, kuma ana iya amfani da shi don ketare iyakokin masu amfani a cikin tsarin masu haya da yawa, kamfanoni, ko ma dandamalin girgije. Ko akan injuna na zahiri ko kama-da-wane, kwantena, ko kayan more rayuwa waɗanda suka dogara da raba fayil, aibi yana haifar da babban haɗari saboda sauƙin da zai iya haɓaka gata na gida.
Dangane da bincike da yawa daga kamfanonin tsaro kamar Datadog da Qualys, cin moriyar banza ne Samun shiga cikin gida ya isa don haifar da harin, ba buƙatar ƙarin hulɗa. Wannan ya sa ya zama ingantaccen vector ga maharan ciki, hanyoyin da ba su dace ba, ko yanayin da aka ba masu amfani ba tare da haƙƙin gudanarwa ba suyi aiki. A haƙiƙa, an lura da yaƙin neman zaɓe na atomatik wanda ke nema da kuma amfani da tsarin da ba a riga an daidaita su ba, musamman bayan sakin kayan aikin jama'a da amfani.
Amsar masana'antu da sabuntawa
Miklos Szeredi ya ba da rahoton kuma gyara shi a farkon 2023., maɓalli mai haɓakawa akan kernel Linux, ta hanyar sadaukarwa (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Faci yana ƙarfafa mai amfani da dubawa yayin ayyukan kwafi, yana hana ci gaba idan taswirar UID ko GID ba ta da inganci a cikin sunan yanzu. Anyi nufin wannan don tabbatar da daidaito tare da POSIX ACLs da kuma hana al'amuran inda aka sanya tsohuwar UID/GID 65534, wanda za'a iya sarrafa shi.
Masu kera irin su NetApp suna cikin waɗanda suka fara buga shawarwarin da ke ba da cikakken bayanin samfuran da abin ya shafa., gami da samfura da samfuran sarrafawa da yawa waɗanda ke haɗa nau'ikan kernel da aka riga aka yi. Sun tabbatar da cewa cin zarafi na iya haifar da samun damar bayanai, gyara bayanai, ko ma hana harin sabis (DoS). Red Hat da sauran dillalai suma sun fara sabuntawa don magance wannan rauni.
Shawarwari da matakan gaggawa don kare kanku daga wannan raunin
Hukumar Tsaro ta Intanet da Tsaro ta Amurka (CISA) ta ƙara CVE-2023-0386 a cikin kundinta na raunin da aka yi amfani da ita kuma tana buƙatar hukumomin tarayya na Amurka su sabunta ta Yuli 8, 2025. Ga duk sauran ƙungiyoyi da masu amfani, shawarar ta bayyana a sarari:
- Haɓaka zuwa Linux kernel 6.2-rc6 ko sama don tabbatar da gyara kwaro.
- Kula da tsarin don halayen gata mara kyau, musamman a cikin mahalli tare da kwantena, masu amfani da yawa, ko mahimman abubuwan more rayuwa.
- A cikin mahallin da ba za a iya amfani da facin nan da nan ba, ana ba da shawarar a kashe OverlayFS na ɗan lokaci ko ƙuntata damar gida ga masu amfani da ba na gudanarwa gwargwadon yiwuwa.
- Tuntuɓi sanarwa na hukuma da kasidar (CISA's KEV) kuma kula da raunin a matsayin fifiko.
Matsakaicin harin da aka sanya ya yi daidai da CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, yana nuna babban tasiri mai tasiri akan sirri, mutunci da samuwa idan an yi nasarar cin nasara.
Wannan raunin yana nuna mahimmancin kiyaye tsarin Linux koyaushe sabuntawa da kulawa, musamman a cikin mahallin kasuwanci ko waɗanda ke sarrafa bayanai masu mahimmanci. Ko da yake cin zarafi yana buƙatar shiga cikin gida, kasancewar PoCs na jama'a da hare-hare ta atomatik yana ƙara gaggawar gyara duk wani yanayi mai rauni da sauri. Haɓaka gata zuwa tushe a cikin waɗannan yanayi na iya haifar da asarar cikakken iko akan abubuwan more rayuwa.
