Dalam beberapa hari terakhir, Badan Keamanan Siber dan Infrastruktur AS (CISA) telah mengeluarkan peringatan mendesak mengenai eksploitasi aktif kerentanan CVE-2023-0386, terdeteksi di kernel Linux. Kerentanan ini, yang dinilai memiliki tingkat keparahan tinggi, telah diidentifikasi sebagai kelemahan dalam pengelolaan izin kepemilikan dalam subsistem OverlayFS. Eksploitasi memungkinkan pengguna lokal untuk meningkatkan hak istimewa dan mendapatkan akses administrator, sehingga membahayakan sistem Linux yang terpengaruh.
Kesalahan ini sangat mengkhawatirkan karena Ini memengaruhi berbagai macam lingkungan, dari server dan mesin virtual hingga cloud., ke kontainer dan bahkan penyebaran Windows Subsystem for Linux (WSL). Skenario jenis ini, di mana segmentasi hak istimewa antara pengguna sangat penting, dapat sangat terganggu jika patch yang sesuai tidak diterapkan.
Apa kerentanan CVE-2023-0386?
Asal usul masalahnya terletak pada bagaimana OverlayFS menangani operasi penyalinan file dengan kemampuan khusus antara titik pemasangan yang berbedaSecara khusus, jika pengguna menyalin file dengan izin yang lebih tinggi dari pemasangan yang dikonfigurasi sebagai tidak ada ke mount lain, kernel tidak menghapus bit setuid dan setgid dengan benar selama operasi. Ini membuka pintu bagi penyerang yang sudah memiliki akses lokal untuk mengeksekusi file dengan izin root, menghindari pembatasan yang biasa.
Kerentanan mempengaruhi versi kernel sebelum 6.2-rc6 yang mengaktifkan OverlayFS dan namespace pengguna. Distribusi yang banyak digunakan seperti Debian, Ubuntu, Red Hat, dan Amazon Linux masuk dalam daftar sistem yang rentan jika belum menerima pembaruan yang sesuai. Lebih jauh, kemudahan eksploitasi kelemahan tersebut telah dibuktikan dengan publikasi bukti konsep (PoC) di GitHub sejak Mei 2023, yang telah menyebabkan peningkatan dramatis dalam upaya eksploitasi.
Ruang lingkup dan bahaya di lingkungan kritis
CVE-2023-0386 dikategorikan sebagai kelemahan manajemen properti (CWE-282) di OverlayFS, dan dapat dimanfaatkan untuk melewati batasan pengguna dalam sistem multi-penyewa, perusahaan, atau bahkan platform cloud. Baik pada mesin fisik maupun virtual, kontainer, atau infrastruktur yang mengandalkan berbagi file, kelemahan tersebut menimbulkan risiko yang cukup besar karena kemudahannya dalam meningkatkan hak istimewa lokal.
Menurut beberapa analisis oleh perusahaan keamanan seperti Datadog dan Qualys, eksploitasi itu hal yang sepele Akses lokal cukup untuk memicu serangan, tanpa memerlukan interaksi tambahan. Hal ini menjadikannya vektor ideal bagi penyerang internal, proses yang disusupi, atau situasi di mana pengguna tanpa hak istimewa administratif diizinkan untuk beroperasi. Faktanya, kampanye otomatis yang mencari dan mengeksploitasi sistem yang belum ditambal telah diamati, terutama setelah dirilisnya alat dan eksploitasi publik.
Respon dan pembaruan industri
Bug tersebut dilaporkan dan diperbaiki pada awal tahun 2023 oleh Miklos Szeredi., pengembang utama pada kernel Linux, melalui komitmen khusus (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Patch tersebut memperketat pemeriksaan pengguna dan grup selama operasi penyalinan, mencegah kesinambungan jika pemetaan UID atau GID tidak valid di namespace saat ini. Hal ini dimaksudkan untuk memastikan konsistensi dengan ACL POSIX dan mencegah skenario di mana UID/GID default 65534 ditetapkan, yang dapat dimanipulasi.
Produsen seperti NetApp merupakan yang pertama menerbitkan pemberitahuan yang merinci produk yang terkena dampak., termasuk beberapa model dan produk pengontrol yang mengintegrasikan versi kernel yang telah ditambal. Mereka mengonfirmasi bahwa eksploitasi dapat mengakibatkan akses data, modifikasi informasi, atau bahkan serangan penolakan layanan (DoS). Red Hat dan vendor lain juga sudah mulai memperbarui untuk mengatasi kerentanan ini.
Rekomendasi dan tindakan mendesak untuk melindungi diri Anda dari kerentanan ini
Badan Keamanan Siber dan Keamanan Infrastruktur AS (CISA) telah menambahkan CVE-2023-0386 ke dalam katalog kerentanan yang dieksploitasi dan mewajibkan lembaga federal AS untuk memperbaruinya paling lambat 8 Juli 2025. Bagi semua organisasi dan pengguna lainnya, rekomendasinya jelas:
- Tingkatkan ke kernel Linux 6.2-rc6 atau yang lebih tinggi untuk memastikan bug telah diperbaiki.
- Pantau sistem untuk perilaku hak istimewa yang tidak lazim, terutama di lingkungan dengan kontainer, banyak pengguna, atau infrastruktur penting.
- Di lingkungan tempat patch tidak dapat segera diterapkan, disarankan untuk menonaktifkan OverlayFS sementara atau membatasi akses lokal ke pengguna non-administratif sebanyak mungkin.
- Konsultasikan pemberitahuan dan katalog resmi (KEV CISA) dan tangani kerentanan sebagai prioritas.
Vektor serangan yang ditetapkan sesuai dengan CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, yang mencerminkan dampak potensial tinggi pada kerahasiaan, integritas, dan ketersediaan jika berhasil dieksploitasi.
Kerentanan ini menggarisbawahi pentingnya menjaga sistem Linux terus diperbarui dan dipantau, terutama di lingkungan perusahaan atau yang menangani data sensitif. Meskipun eksploitasi memerlukan akses lokal, keberadaan PoC publik dan serangan otomatis meningkatkan urgensi untuk memperbaiki setiap contoh yang rentan secepat mungkin. Meningkatkan hak istimewa ke root dalam keadaan ini dapat mengakibatkan hilangnya kendali penuh atas infrastruktur.
