Ты не скачивал вирус. Не открывал вложения. Просто был на сервере с Linux — а root уже у чужака в руках
NewsMakerВсё, что нужно злоумышленнику — немного терпения и забытый баг в OverlayFS.
Американское агентство по кибербезопасности и защите критической инфраструктуры ( CISA ) официально внесло в реестр активно эксплуатируемых уязвимостей (KEV) опасный сбой в ядре Linux — CVE-2023-0386. Угроза признана реальной: в последние месяцы она начала использоваться в атаках на реальные системы, несмотря на то что патч был выпущен ещё в начале 2023 года.
Проблема кроется в подсистеме OverlayFS — механизме, применяемом для объединения нескольких файловых пространств, особенно часто используемом в контейнерах и Live-средах. Суть уязвимости заключается в некорректной обработке прав доступа при копировании исполняемого файла с дополнительными возможностями из одного монтированного тома в другой. Ядро не проверяло, соответствует ли идентификатор пользователя текущему пространству имён, что позволяло неквалифицированному пользователю незаметно внедрить SUID-бинарник, исполняемый от имени root.
Исследование компании Datadog, опубликованное в мае прошлого года, показало, что эксплойт реализуется элементарно. Метод атаки предполагает создание исполняемого файла с флагом SUID в директории вроде /tmp, что даёт злоумышленнику полномочия суперпользователя без необходимости обойти какие-либо другие уровни защиты. Простота реализации делает эту брешь особенно привлекательной для автоматизированных эксплойт-наборов.
Хотя уязвимость была исправлена довольно быстро, спустя год CISA подтвердила: вредоносные группы начали активно использовать её в реальных атаках. Детали того, в каких сценариях применяется эксплойт, пока не раскрываются, но сам факт добавления в KEV означает, что речь идёт не о теоретической угрозе, а о текущей активности в дикой среде.
Уязвимость затрагивает ключевую для безопасности часть Linux — пространства имён, через которые осуществляется изоляция процессов и пользователей. Ошибка позволяет без надлежащей проверки перенести привилегированный исполняемый файл из нижнего слоя OverlayFS в верхний, тем самым получив возможность выполнить его с правами администратора. Такой обходной путь особенно опасен в многопользовательских системах и в средах с контейнеризацией.
Позже в 2023 году компания Wiz опубликовала отчёт о двух смежных проблемах — CVE-2023-32629 и CVE-2023-2640. Эти дефекты, объединённые под названием GameOver(lay), имели аналогичный результат: они позволяли формировать исполняемые файлы, предоставлявшие злоумышленникам доступ к корневым правам. Все три уязвимости эксплуатируют слабые места в OverlayFS, делая акцент на обход штатных механизмов контроля прав.
В связи с увеличением риска CISA предписала всем федеральным гражданским ведомствам (FCEB) установить обновления до 8 июля 2025 года. Это обязательное требование должно минимизировать вероятность атак на правительственные серверы и обеспечить базовую устойчивость к подобным техникам эскалации .
Важно отметить, что потенциальная угроза существует не только для государственных структур. Все системы на базе Linux , в которых используются уязвимые версии ядра и активен OverlayFS, подвержены риску. Особую опасность баг представляет для серверов с публичным доступом, облачных окружений и CI/CD-инфраструктур, где файловая изоляция критически важна для безопасности.
Даже при включённых системах контроля, таких как AppArmor или SELinux, эксплойт может обойти ограничения, если ядро не обновлено. Дополнительный риск связан с тем, что атака не требует загрузки сторонних библиотек — её можно осуществить исключительно с помощью штатных инструментов Linux, что ещё сильнее снижает порог вхождения для потенциальных злоумышленников.
Добавление CVE-2023-0386 в список KEV — тревожный сигнал для всех администраторов и инженеров, отвечающих за защиту Linux-серверов. Без своевременной установки патча существует реальный шанс полного захвата системы даже при минимальном доступе. Надёжная защита — это не просто наличие брандмауэра или антивируса , а регулярная работа по поддержанию актуального состояния ядра и анализ прав на SUID-файлы, особенно в публичных и распределённых системах.
Американское агентство по кибербезопасности и защите критической инфраструктуры ( CISA ) официально внесло в реестр активно эксплуатируемых уязвимостей (KEV) опасный сбой в ядре Linux — CVE-2023-0386. Угроза признана реальной: в последние месяцы она начала использоваться в атаках на реальные системы, несмотря на то что патч был выпущен ещё в начале 2023 года.
Проблема кроется в подсистеме OverlayFS — механизме, применяемом для объединения нескольких файловых пространств, особенно часто используемом в контейнерах и Live-средах. Суть уязвимости заключается в некорректной обработке прав доступа при копировании исполняемого файла с дополнительными возможностями из одного монтированного тома в другой. Ядро не проверяло, соответствует ли идентификатор пользователя текущему пространству имён, что позволяло неквалифицированному пользователю незаметно внедрить SUID-бинарник, исполняемый от имени root.
Исследование компании Datadog, опубликованное в мае прошлого года, показало, что эксплойт реализуется элементарно. Метод атаки предполагает создание исполняемого файла с флагом SUID в директории вроде /tmp, что даёт злоумышленнику полномочия суперпользователя без необходимости обойти какие-либо другие уровни защиты. Простота реализации делает эту брешь особенно привлекательной для автоматизированных эксплойт-наборов.
Хотя уязвимость была исправлена довольно быстро, спустя год CISA подтвердила: вредоносные группы начали активно использовать её в реальных атаках. Детали того, в каких сценариях применяется эксплойт, пока не раскрываются, но сам факт добавления в KEV означает, что речь идёт не о теоретической угрозе, а о текущей активности в дикой среде.
Уязвимость затрагивает ключевую для безопасности часть Linux — пространства имён, через которые осуществляется изоляция процессов и пользователей. Ошибка позволяет без надлежащей проверки перенести привилегированный исполняемый файл из нижнего слоя OverlayFS в верхний, тем самым получив возможность выполнить его с правами администратора. Такой обходной путь особенно опасен в многопользовательских системах и в средах с контейнеризацией.
Позже в 2023 году компания Wiz опубликовала отчёт о двух смежных проблемах — CVE-2023-32629 и CVE-2023-2640. Эти дефекты, объединённые под названием GameOver(lay), имели аналогичный результат: они позволяли формировать исполняемые файлы, предоставлявшие злоумышленникам доступ к корневым правам. Все три уязвимости эксплуатируют слабые места в OverlayFS, делая акцент на обход штатных механизмов контроля прав.
В связи с увеличением риска CISA предписала всем федеральным гражданским ведомствам (FCEB) установить обновления до 8 июля 2025 года. Это обязательное требование должно минимизировать вероятность атак на правительственные серверы и обеспечить базовую устойчивость к подобным техникам эскалации .
Важно отметить, что потенциальная угроза существует не только для государственных структур. Все системы на базе Linux , в которых используются уязвимые версии ядра и активен OverlayFS, подвержены риску. Особую опасность баг представляет для серверов с публичным доступом, облачных окружений и CI/CD-инфраструктур, где файловая изоляция критически важна для безопасности.
Даже при включённых системах контроля, таких как AppArmor или SELinux, эксплойт может обойти ограничения, если ядро не обновлено. Дополнительный риск связан с тем, что атака не требует загрузки сторонних библиотек — её можно осуществить исключительно с помощью штатных инструментов Linux, что ещё сильнее снижает порог вхождения для потенциальных злоумышленников.
Добавление CVE-2023-0386 в список KEV — тревожный сигнал для всех администраторов и инженеров, отвечающих за защиту Linux-серверов. Без своевременной установки патча существует реальный шанс полного захвата системы даже при минимальном доступе. Надёжная защита — это не просто наличие брандмауэра или антивируса , а регулярная работа по поддержанию актуального состояния ядра и анализ прав на SUID-файлы, особенно в публичных и распределённых системах.