Privilegienmissbrauch in der Linux-Kommandozentrale : CISA warnt vor aktiv ausgenutzter Kernel-Schwachstelle
Ein unscheinbarer, aber gefährlicher Fehler im Linux-Kernel besorgt die Sicherheitswelt. Die US-Behörde für Cybersicherheit und Infrastrukturschutz (CISA) hat die Sicherheitslücke CVE-2023-0386 offiziell in ihren Katalog der bekannt ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Der Grund: Die Schwachstelle wird derzeit aktiv für Angriffe genutzt – und das, obwohl sie eigentlich bereits 2023 behoben wurde.
Bei CVE-2023-0386 handelt es sich um eine Fehlkonfiguration im Besitzmanagement des Linux-Dateisystems OverlayFS. Vereinfacht gesagt, lässt sich durch eine fehlerhafte Prüfung bei Dateiübertragungen zwischen verschiedenen Dateisystemebenen eine lokale Rechteausweitung erzwingen.
Ein Angreifer ohne Administratorrechte kann mithilfe eines sogenannten SUID-Binaries – einer Datei, die mit erweiterten Rechten ausgeführt wird – Root-Zugriff auf ein System erlangen. Dabei wird ausgenutzt, dass beim Kopieren von Dateien aus einem nicht privilegierten („nosuid“-)Verzeichnis in ein anderes die Besitzrechte unzureichend geprüft werden. Der Kernel erstellt dadurch eine Datei, die fälschlicherweise Root-Rechte erhält – im schlimmsten Fall direkt im temporären Ordner /tmp.
Trick mit OverlayFS: Vom Benutzer zum Root
Die Schwachstelle liegt konkret darin, dass das Linux-System beim Kopieren von Dateien mit OverlayFS nicht prüft, ob die Besitzverhältnisse der Datei (User/Group) korrekt im aktuellen User Namespace gemappt sind. Damit kann ein Angreifer eine spezielle Datei – zum Beispiel ein schädliches Binary – von einem „lower“-Verzeichnis in ein „upper“-Verzeichnis übertragen. Die Datei erhält dabei Root-Rechte, ohne dass der Angreifer root sein müsste.
Das IT-Sicherheitsunternehmen Datadog beschrieb die Lücke bereits im Mai 2023 als „leicht ausnutzbar“. Im gleichen Jahr berichtete Wiz Security über zwei ähnliche Lücken namens GameOver(lay) (CVE-2023-2640 und CVE-2023-32629), die insbesondere Ubuntu-Systeme betrafen.
CISA hat Behörden der Federal Civilian Executive Branch (FCEB) nun verpflichtet, bis spätestens 8. Juli 2025 entsprechende Patches einzuspielen. Damit soll verhindert werden, dass Angreifer über die Schwachstelle Zugriff auf sensible Systeme erlangen. Diese Verpflichtung zeigt, wie ernst die Lage ist – insbesondere, da bislang unklar ist, auf welche Weise die Lücke in der Praxis ausgenutzt wird. Klar ist jedoch: Sie ermöglicht lokalen Angreifern eine vollständige Kompromittierung des Systems.
Alte Lücke, neue Gefahr
Die Schwachstelle CVE-2023-0386 zeigt einmal mehr, dass bereits bekannte und gepatchte Fehler weiterhin ein Risiko darstellen, wenn Updates nicht zeitnah umgesetzt werden. Besonders in produktiven Linux-Umgebungen, in denen OverlayFS zum Einsatz kommt, sollten Systemadministratoren dringend prüfen, ob die Sicherheitsupdates korrekt implementiert wurden.
Auch wenn der Bug keine Remote-Ausnutzung erlaubt, ist das Potenzial zur Privilegieneskalation enorm – insbesondere in Multiuser- oder Cloud-Umgebungen. Wer den Patch noch nicht installiert hat, sollte jetzt handeln.