Was ist jetzt zu tun?

Kritische Linux-Sicherheitslücke wird aktiv ausgenutzt

Linux
Bildquelle: Shutterstock AI
LinkedInRedditWhatsAppPocket

Eine gravierende Schwachstelle im Linux-Kernel – bekannt unter der Bezeichnung CVE-2023-0386 – wurde von der US-Cyberbehörde CISA in den Katalog der bekannten aktiv ausgenutzten Sicherheitslücken (KEV) aufgenommen.

Die Lücke ermöglicht es lokalen Nutzern, ihre Rechte auf Root-Ebene zu erhöhen – ein erheblicher Risikofaktor für jede betroffene Linux-Umgebung.

Anzeige

Die Schwachstelle im Detail

Im Zentrum der Sicherheitslücke steht ein Fehler im Umgang mit Dateibesitz im OverlayFS-Subsystem des Kernels. Der Bug tritt auf, wenn Dateien vom Overlay-Dateisystem in ein sogenanntes “Upper”-Verzeichnis kopiert werden, ohne zu prüfen, ob die Eigentümerinformationen (Benutzer- und Gruppen-IDs) in der aktuellen Benutzerumgebung korrekt abgebildet sind.

Dies erlaubt es einem nicht privilegierten Nutzer, eine Datei mit SUID-Bit – also mit Root-Rechten versehen – vom “Lower”- in das “Upper”-Verzeichnis einzuschleusen, ohne dass der Kernel dies unterbindet. OverlayFS wird dabei als Umgehungshilfe missbraucht.

Ähnliche Schwachstellen: GameOver(lay)

Später im selben Jahr identifizierte die Sicherheitsfirma Wiz zwei weitere Schwachstellen, die in eine ähnliche Richtung gehen: CVE-2023-32629 und CVE-2023-2640, zusammengefasst unter dem Namen GameOver(lay).

Anzeige

Diese ermöglichen die Erstellung spezieller ausführbarer Dateien, die beim Start Root-Rechte verschaffen können – ein ähnliches Angriffsmuster wie bei CVE-2023-0386.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Was bedeutet das für Nutzer und Administratoren?

Obwohl die Schwachstellen bereits Anfang 2023 behoben wurden, besteht weiterhin Gefahr – vor allem in Systemen, die nicht zeitnah aktualisiert wurden.

Konkrete Bedrohung:

  • Die Lücke wird aktiv von Angreifern ausgenutzt.
  • Sie gilt als technisch einfach auszunutzen (“trivial”), wie Sicherheitsforscher berichten.
  • Besonders problematisch in Multi-User-Umgebungen oder bei öffentlich zugänglichen Systemen.

Für Einrichtungen des Federal Civilian Executive Branch (FCEB) hat die US-Regierung eine klare Deadline gesetzt: Bis spätestens 8. Juli 2025 müssen alle Systeme gegen diese Lücken abgesichert sein.

Was ist jetzt zu tun?

Empfohlene Maßnahmen:

  • Sofortige Aktualisierung des Linux-Kernels auf eine Version, in der CVE-2023-0386 sowie die GameOver(lay)-Lücken behoben sind.
  • Überprüfung von Systemen, bei denen OverlayFS aktiv genutzt wird.
  • Härtung der Systeme durch Einschränkung von Schreibrechten in gemeinsam genutzten Verzeichnissen wie /tmp.

Die Lücke CVE-2023-0386 und ihre Verwandten zeigen erneut, wie wichtig ein schnelles Patch-Management im Bereich der Open-Source-Infrastruktur ist. Wer nicht handelt, setzt seine Systeme einem unnötigen Risiko aus – und öffnet Angreifern Tür und Tor.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Cyber-Spionage auf Linux: Neue Backdoors aufgedeckt

Weitere Artikel

Wie KI zur Klimabelastung wird
Databricks gibt strategische KI-Partnerschaft mit Google Cloud bekannt
Vertrauen verleitet zur Preisgabe von Daten
Österreich plant Messenger-Überwachung ab 2027
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.