CISA warnt vor aktiver Ausnutzung kritischer Linux-Schwachstelle

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine Warnung vor einer derzeit aktiv ausgenutzten Schwachstelle im Linux-Kernel veröffentlicht. Die Sicherheitslücke wird unter der Kennung CVE-2023-0386 geführt und wurde in den Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen.

Schwachstelle im OverlayFS-Subsystem ermöglicht Rechteausweitung

Die Ursache liegt in einer fehlerhaften Verwaltung von Eigentumsrechten im OverlayFS-Subsystem des Linux-Kernels. Konkret kann ein lokaler Angreifer durch das Kopieren einer Datei mit speziellen Berechtigungen (setuid) von einem „nosuid“-Mount in ein anderes Dateisystem unbefugte Systemrechte erlangen. Grund ist eine inkorrekte UID-Zuordnung, die es ermöglicht, die Ausführung privilegierter Dateien zu erzwingen – eine klassische Rechteausweitung.

Ransomware-Zusammenhang bislang unklar

Ob die Schwachstelle bereits gezielt in Ransomware-Kampagnen eingesetzt wurde, ist bislang nicht bekannt.

Empfohlene Schutzmaßnahmen

CISA empfiehlt Administratoren und Unternehmen dringend, die von den jeweiligen Herstellern bereitgestellten Patches und Sicherheitsupdates unverzüglich einzuspielen. Alternativ sollte – sofern keine Abhilfemaßnahmen verfügbar sind – die Nutzung betroffener Systeme eingestellt werden. Zudem verweist die Behörde auf die Einhaltung der Richtlinien aus der Binding Operational Directive BOD 22-01 für Cloud-Dienste.