Vulnerabilidades de elevación de privilegios en el Kernel de Ubuntu.

TEAM CSIRT

El kernel de Ubuntu, ha sido un objetivo constante para investigadores y desarrolladores que trabajan para detectar y resolver posibles vulnerabilidades con dedicación.

Se han reportado dos nuevas vulnerabilidades, que se detallan a continuación:

  • CVE-2023-2640 es una vulnerabilidad crítica (con una puntuación CVSS v3 de 7.8) encontrada en el kernel de Ubuntu Linux, debido a la presencia de comprobaciones de permisos inadecuadas. Esto puede permitir que un atacante que tenga acceso local al sistema obtenga privilegios elevados de forma no autorizada.
  • CVE-2023-32629, se trata de una vulnerabilidad de gravedad moderada (con una puntuación CVSS v3 de 5.4) que afecta al subsistema de administración de memoria del kernel de Linux. Esta vulnerabilidad se debe a una condición de carrera que ocurre al acceder a las áreas de memoria virtual (VMA), lo que podría conducir a un caso de uso después de la liberación. Un atacante local podría aprovechar esto para ejecutar código arbitrario en el sistema afectado.


Los investigadores detectaron los problemas tras detectar discrepancias en la forma en que se implementó el módulo OverlayFS en el kernel de Linux.

OverlayFS es un sistema de archivos de montaje en unión que ha sido objeto de preocupación en el pasado debido a su potencial para permitir acceso no autorizado a través de espacios de nombres de usuario y su propensión a contener errores fácilmente explotables.

Desafortunadamente, el riesgo de explotación es inminente, ya que las PoC para las dos fallas han estado disponibles públicamente durante mucho tiempo.

Productos Afectados

Versiones de Ubuntu inferiores a 23.04

Solución

Actualizar Ubuntu a la versión 23.04 o superior

Recomendaciones

  • Se recomienda a los usuarios inexpertos en la reinstalación y activación de módulos de kernel de terceros que actualicen a través del administrador de paquetes. Esto asegura una actualización segura y sin problemas, ya que el administrador de paquetes se encargará de gestionar las dependencias y configuraciones necesarias después de la instalación.
  • Es necesario reiniciar después de instalar las actualizaciones para que la actualización del kernel de Linux surta efecto en Ubuntu.
  • Los equipos de seguridad deben parchear sus cargas de trabajo o restringir OverlayFS solo a usuarios raíz.

Referencias.

https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/almost-40-percent-of-ubuntu-users-vulnerable-to-new-privilege-elevation-flaws/amp/

https://www.tenable.com/cve/CVE-2023-32629

https://nvd.nist.gov/vuln/detail/CVE-2023-2640

https://ubuntu.com/security/CVE-2023-32629

https://ubuntu.com/security/CVE-2023-2640

https://www.wiz.io/blog/ubuntu-overlayfs-vulnerability