Schwachstellen entdeckt: 40 Prozent aller Ubuntu-Systeme erlauben Rechteausweitung

Sicherheitsforscher von Wiz haben zwei leicht ausnutzbare Schwachstellen in einem Modul der Linux-Distribution Ubuntu entdeckt, mit dem das Betriebssystem die Verwendung des Dateisystems OverlayFS ermöglicht. Wie die Forscher in einem gestern veröffentlichten Blogbeitrag erklären, sollen unprivilegierte Angreifer damit in der Lage sein, auf rund 40 Prozent aller Ubuntu-Systeme ihre Rechte auszuweiten. "Die betroffenen Ubuntu-Versionen sind in der Cloud weit verbreitet, da sie als Standardbetriebssysteme für mehrere CSPs dienen", warnen die Wiz-Forscher.

Alte Exploits funktionieren ohne jegliche Anpassungen

Ursache für die als CVE-2023-32629 und CVE-2023-2640 registrierten Schwachstellen seien demnach Änderungen, die Ubuntu schon im Jahr 2018 am OverlayFS-Modul vorgenommen habe und die zum damaligen Zeitpunkt noch unkritisch waren. "In den Jahren 2019 und 2022 nahm das Linux-Kernel-Projekt jedoch eigene Änderungen an dem Modul vor, die im Widerspruch zu den früheren Änderungen von Ubuntu standen", so die Forscher. Die Übernahme dieses neuen Quellcodes durch die Ubuntu-Entwickler habe in der Folge zu den genannten Schwachstellen geführt, von denen ausschließlich Ubuntu-Systeme betroffen seien.

Darüber hinaus erklären die Forscher, es gebe bereits öffentlich verfügbare Exploits, mit denen Angreifer die Schwachstellen ausnutzen können. Grund dafür sei etwa, dass alte Exploits für frühere OverlayFS-Schwachstellen ohne jegliche Anpassungen funktionieren. Denn schon in der Vergangenheit habe sich OverlayFS durch zahlreiche logische und leicht ausnutzbare Schwachstellen als attraktives Angriffsziel für die lokale Privilegienerweiterung erwiesen.

Patches sind bereits verfügbar

Auch der Ubuntu-Entwickler Canonical erklärt in einer Sicherheitsnotiz bezüglich beider Sicherheitslücken, dass die OverlayFS-Implementierung im Ubuntu-Linux-Kernel "Berechtigungsprüfungen in bestimmten Situationen nicht korrekt durchführt", wodurch Angreifer schließlich in der Lage seien, erweiterte Rechte zu erlangen. Patches stehen demnach schon bereit. Nun liegt es an den jeweils zuständigen Administratoren, ihre Kernel-Module, beispielsweise über einen Paketmanager, zeitnah zu aktualisieren. Damit die Änderungen wirksam werden, ist nach dem Update ein Neustart erforderlich.