Due ricercatori riferiscono della presenza nel kernel Ubuntu di gravi problemi di sicurezza che potrebbero consentire l’acquisizione di privilegi elevati sul sistema locale. Le vulnerabilità Ubuntu in questione, riguardano esclusivamente questa distribuzione Linux ma sono considerate piuttosto preoccupanti poiché interessano circa il 40% degli utenti della piattaforma Canonical.
Scoperte da Wiz Research, le vulnerabilità CVE-2023-32629 e CVE-2023-2640 hanno a che fare con l’imperfetta implementazione del modulo OverlayFS in Ubuntu.
Cos’è OverlayFS e a che cosa serve
OverlayFS è usato per combinare due o più directory in modo da creare una vista virtuale combinata. In altre parole, si tratta di un meccanismo che agisce a livello di file system e che consente di creare una gerarchia di file e directory che unisce i contenuti di oggetti in un unico file system virtuale.
L’utilizzo principale di OverlayFS ha a che vedere con la creazione di immagini e container isolati, come avviene con le tecnologie di containerizzazione come Docker. Con OverlayFS, è possibile creare un file system di sola lettura contenente l’immagine del sistema operativo e un file system per la scrittura dei dati che tiene traccia esclusivamente delle modifiche via via apportate. In questo modo, i cambiamenti applicati non alterano l’immagine del sistema operativo e, ad esempio, ciascun container può beneficiare di una “vista” del file system isolata e separata dall’installazione principale.
OverlayFS è stato incluso nel kernel Linux dalla versione 3.18 ed è una parte fondamentale delle tecnologie di containerizzazione e delle distribuzioni Linux orientate ai container.
Perché le due vulnerabilità Ubuntu sono pericolose
Proprio per la sua natura di soluzione in grado di interagire a basso livello con il file system, OverlayFS ha subìto in passato ripetuti tentativi di aggressione. Bug facilmente sfruttabili consentono infatti l’accesso alle varie aree del sistema usando account sprovvisti di particolari privilegi.
Gli sviluppatori del progetto Ubuntu hanno applicato alcune modifiche tra il 2019 e il 2022 sul modulo OverlayFS alterando il comportamento predefinito del kernel Linux. Proprio questo tipo di attività ha sfortunatamente portato all’introduzione delle due vulnerabilità citate in apertura.
I codici exploit già disponibili per i bug di sicurezza individuati in Ubuntu sono immediatamente funzionanti e, per via della presenza pressoché universale di OverlayFS, i ricercatori stimano che il problema riguardi il 40% degli utenti facenti uso della distribuzione mantenuta da Canonical.
La soluzione è evidentemente quella di procedere quanto prima con l’installazione della versione più aggiornata di Ubuntu. Maggiori informazioni sono disponibili nel bollettino di Canonical ma un semplice sudo apt update && sudo apt upgrade -y
consente di mettere il sistema al riparo da qualunque rischio.