Alerta da CISA destaca nova ameaça ao Linux
A CISA avisa sobre exploração ativa de uma falha de escalonamento de privilégios no kernel do Linux, identificada como CVE‑2023‑0386, que está sendo explorada em sistemas do mundo real, especialmente aqueles que utilizam o subsistema OverlayFS.
Entendendo a falha no OverlayFS
A falha consiste em um erro de gerenciamento incorreto de propriedade ao copiar um arquivo com privilégios (como um binário SUID) de um sistema de arquivos onde a função setuid está desativada (nosuid) para outro. O kernel não verifica se o usuário e grupo foram mapeados corretamente no namespace de usuário atual, permitindo que um usuário comum insira um executável SUID dentro de um diretório com permissões elevadas e o execute como root.
Como a vulnerabilidade pode ser explorada
O problema foi corrigido no início de 2023, após o esforço de equipes como a da Datadog, que demonstraram que era possível forjar binários SUID em locais como /tmp e escalonar privilégios localmente.
Correção e resposta da comunidade de segurança
A inclusão da CVE‑2023‑0386 no KEV Catalog da CISA indica que a exploração já está ocorrendo em campo, exigindo atenção imediata por parte das organizações que utilizam Linux, especialmente em ambientes que dependem de containerização e OverlayFS.
Ambientes mais vulneráveis ao ataque
A vulnerabilidade representa um risco considerável para containers, servidores na nuvem e sistemas corporativos, pois permite que invasores locais obtenham acesso root e comprometam a integridade e disponibilidade dos sistemas.
Prazos e obrigações para mitigação
A CISA exige que agências federais dos EUA apliquem os patches necessários até 8 de julho de 2025, em conformidade com a diretiva BOD 22‑01. Outras organizações também são fortemente recomendadas a atualizar imediatamente.
Boas práticas de segurança recomendadas
Para se proteger, recomenda-se:
• Atualizar todos os sistemas Linux para versões recentes do kernel com a correção.
• Adotar o princípio do menor privilégio (least privilege) e controlar rigorosamente acesso de usuários.
• Monitorar comportamentos atípicos, como criação e execução de binários SUID.
• Seguir boas práticas em ambientes com containers, como isolar recursos e usar controles MAC.
• Implementar fluxo de resposta a incidentes com rotina de logs e análise de indicadores de comprometimento.
A importância da segurança proativa em sistemas Linux
Este alerta reforça que até componentes confiáveis do Linux podem esconder falhas sérias. A postura mínima deve incluir atualização contínua, monitoramento ativo e arquitetura segura, especialmente em infraestrutura crítica baseada em Linux.
Fonte e imagens: https://thehackernews.com/2025/06/cisa-warns-of-active-exploitation-of.html
