CISA alerta para exploração ativa de falha crítica no kernel do Linux que permite escalonamento de privilégios

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiu um alerta oficial nesta terça-feira sobre a exploração ativa de uma vulnerabilidade crítica no kernel do Linux, adicionando o problema ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A falha, identificada como CVE-2023-0386 e com pontuação CVSS de 7,8, refere-se a um erro de gerenciamento inadequado de propriedade no subsistema OverlayFS do kernel, que pode ser usado por usuários locais para aumentar seus privilégios e obter controle total sobre o sistema afetado.

Embora o bug tenha sido corrigido ainda no início de 2023, a CISA destaca que ataques reais utilizando essa falha estão em andamento. De acordo com um relatório da Datadog, a exploração é relativamente simples e envolve a manipulação do kernel para que este crie um arquivo SUID com permissões de root em diretórios temporários como o /tmp.

O problema ocorre porque, ao copiar arquivos entre montagens com e sem o atributo nosuid, o kernel falha em verificar adequadamente os mapeamentos de usuário e grupo no namespace atual, permitindo que um invasor "contrabandeie" binários privilegiados para locais onde podem ser executados com escalonamento de privilégios.

Em uma análise complementar, pesquisadores da empresa de segurança em nuvem Wiz relataram vulnerabilidades semelhantes — CVE-2023-32629 e CVE-2023-2640 — batizadas de GameOver(lay), também relacionadas ao OverlayFS, que possibilitam o mesmo tipo de elevação de privilégios.

Essas falhas permitem que arquivos executáveis especialmente criados concedam privilégios de root ao serem ativados. A exploração bem-sucedida representa uma ameaça significativa, especialmente em ambientes corporativos ou governamentais que utilizam distribuições baseadas em Linux.

A CISA determinou que todas as agências federais civis do Executivo (FCEB) implementem os patches corretivos até 8 de julho de 2025. O objetivo é impedir que hackers explorem essas brechas ativamente para comprometer redes institucionais.

Embora ainda não se saiba exatamente quem está por trás das explorações atuais, a facilidade do ataque e a gravidade das consequências tornam a correção uma prioridade urgente para todos os administradores de sistemas baseados em Linux.

Via - THN