Root-Rechte für lokale Angreifer dank Lücken im Linux-Kernel
In zwei Komponenten des Linuxkernels verstecken sich Sicherheitslücken, die lokalen Angreifern eine Rootshell spendieren. Ein erster Exploit ist öffentlich.
(Bild: Sashkin/Shutterstock.com)
Zwei Komponenten des Linux-Kernels sind von Sicherheitslücken betroffen, die lokalen Angreifern die Ausweitung der eigenen Rechte ermöglichen. Eine Use-After-Free-Lücke im nf_tables-Modul sowie ein Logikfehler in FUSE erlauben unprivilegierten Nutzern, mit Rootrechten das Zielsystem zu übernehmen.
FUSE (Filesystem in Userspace) wird verwendet, um Linux-fremde Dateisysteme wie etwa NTFS oder UDF (DVDs) einzubinden, ohne dass der Nutzer zusätzliche Privilegien (wie etwa root-Rechte) benötigt. Sicherheitsforscher haben nun einen Weg gefunden, das Zusammenspiel zwischen Linux-Kernel und FUSE beim Kopieren von Dateien durcheinanderzubringen und so Rootrechte zu erlangen. Die Sicherheitslücke betrifft Systeme mit Kernelversionen zwischen 5.11 und 5.19 sowie installiertem FUSE.
Ein chinesischer Sicherheitsforscher mit dem Pseudonym "breeze chenaotian" hat eine detaillierte Analyse des Bugs veröffentlicht und erläutert, dass die verwundbare Funktion namens kuid_has_mapping unter bestimmten Bedingungen inkorrekte Zuordnungen von Nutzerrechten in den verschiedenen Namensräumen des Linux-Kernels vornimmt. Bei einem Test auf einer frisch installierten Ubuntu-VM (22.04) konnte heise Security diese FUSE-Lücke anhand des Proof-of-Concept-Exploits erfolgreich nachstellen. Die Sicherheitslücke wird mit der Kennung CVE-2023-0386 in den einschlägigen Datenbanken geführt und erhält mit einer CVSS-Punktzahl von 7.8 eine Priorisierung als "hoch".
(Bild: Screenshot heise Security)
Neben allen Linux-Systemen mit den verwundbaren Kernelversionen 5.11 bis 5.19 sind auch eine Reihe von Netapp-Produkten sowie vermutlich auch Linux-basierte Appliances anderer Hersteller betroffen. Aktualisierte Kernelpakete für die meisten Linux-Distributionen stehen noch aus, Ubuntu hat jedoch bereits reagiert und einen neuen Kernel veröffentlicht.
PoC noch unter Embargo
Über die Sicherheitslücke mit der ID CVE-2023-32233 im nf_tables ist vergleichsweise wenig bekannt. Eine Gruppe polnischer Sicherheitsforscher hat den Bug auf der Mailingliste oss-sec veröffentlicht und nach eigener Aussage einen Root-Exploit dazu entwickelt. Dieser wird jedoch erst am 15. Mai veröffentlicht – so lange gilt eine Embargofrist, die den Linux-Entwicklern und -Distributionen eine Gelegenheit zur Absicherung geben soll. Bei der Manipulation der nf_tables-Konfiguration werden direkt aufeinanderfolgende Operationen unter Umständen falsch verarbeitet, was zu einem fehlerhaften Speicherzugriff führt (use after free). Auch hier ist ein Angriff aus der Ferne nicht möglich – Angreifer benötigen also Zugang zu einem Nutzerkonto auf dem Zielsystem.
Betroffen, so die Entdecker, sind verschiedene aktuelle Linux-Kernelversionen inklusive des aktuellen stabilen Kernels 6.3.1. Der Bug wurde am 02. Mai durch einen Kernel-Patch behoben, die großen Linux-Distributionen haben jedoch noch keine aktuellen Kernelpakete veröffentlicht.
(cku)
