TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
CISA ออกคำเตือนให้หน่วยงานรัฐบาลสหรัฐฯ ระวังการโจมตีที่กำลังเกิดขึ้นจริงผ่านช่องโหว่ระดับ high-severity ใน Linux kernel OverlayFS subsystem ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root ได้
ช่องโหว่ local privilege escalation นี้ (CVE-2023-0386) เกิดจากปัญหาการจัดการ ownership ที่ไม่เหมาะสมใน Linux kernel ได้รับการแก้ไขแล้วตั้งแต่เดือนมกราคม 2023 และเปิดเผยต่อสาธารณะในเดือนมีนาคม 2023 ที่น่ากังวลคือมี proof-of-concept (PoC) exploits หลายตัวถูกเผยแพร่บน GitHub ตั้งแต่เดือนพฤษภาคม 2023 ทำให้การโจมตีสามารถทำได้ง่ายขึ้นอย่างมาก
จากการวิเคราะห์ของ Datadog Security Labs พบว่า CVE-2023-0386 สามารถ exploit ได้ง่ายมากและส่งผลกระทบต่อ Linux distributions จำนวนมาก รวมถึงตัวที่นิยมใช้งานอย่าง Debian, Red Hat, Ubuntu และ Amazon Linux หากใช้ kernel version ต่ำกว่า 6.2 ช่องโหว่นี้เกิดขึ้นเมื่อผู้ใช้งานคัดลอกไฟล์ที่มี capabilities จาก nosuid mount ไปยัง mount อื่น ทำให้ผู้ใช้งานทั่วไปสามารถยกระดับสิทธิ์ขึ้นเป็น root บนระบบได้
CISA ได้เพิ่มช่องโหว่นี้เข้าไปใน Known Exploited Vulnerabilities catalog และกำหนดให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ต้องแก้ไขช่องโหว่บนระบบ Linux ของตนภายใน 3 สัปดาห์ หรือภายในวันที่ 8 กรกฎาคม นี่เป็นครั้งแรกที่ CVE-2023-0386 ถูกระบุว่ามีการโจมตีจริงนับตั้งแต่มีการปล่อย patch ออกมา
นอกจากนี้ ในวันอังคารที่ผ่านมา ทีมวิจัย Qualys Threat Research Unit (TRU) ยังได้เตือนถึงช่องโหว่ local privilege escalation (LPE) อีก 2 รายการที่เพิ่งได้รับการแก้ไข ซึ่งสามารถใช้ในการยกระดับสิทธิ์เป็น root บนระบบที่ใช้ Linux distributions หลักๆ โดย Qualys TRU ได้พัฒนา proof-of-concept exploits และทดสอบโจมตี CVE-2025-6019 สำเร็จบนระบบ Debian, Ubuntu, Fedora และ openSUSE
สำหรับผู้ดูแลระบบ Linux ควรตรวจสอบ kernel version ที่ใช้งานอยู่และทำการอัปเดตโดยเร็วที่สุด โดยเฉพาะระบบที่ใช้ kernel version ต่ำกว่า 6.2 ซึ่งมีความเสี่ยงสูงต่อการถูกโจมตีผ่านช่องโหว่นี้
