Trusted Design

CVE-2023-0386 の詳細

CVEの情報

説明:
A flaw was found in the Linux kernel, where unauthorized access to the execution of the setuid file with capabilities was found in the Linux kernel’s OverlayFS subsystem in how a user copies a capable file from a nosuid mount into another mount. This uid mapping bug allows a local user to escalate their privileges on the system.

CVE更新日: 2023-03-22 21:15:18.090000

CVSSバージョン: 3.1

CVSSスコア: 7.8

KEVの情報

KEV更新日: 2025-06-17

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.078800000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2023-0386に関する脆弱性の調査結果を以下に解説します。

1. 脆弱性の概要

CVE-2023-0386は、LinuxカーネルのOverlayFSサブシステムにおけるローカル権限昇格の脆弱性です。この脆弱性は、nosuidマウントされたファイルシステムから、特定の権限を持つsetuidファイルが別のマウントポイントにコピーされる際の所有権管理の不備に起因します。カーネルがユーザーID(UID)マッピングを正しく処理しないため、非特権のローカルユーザーがsetuidビットとファイル機能を保持したままファイルをコピーし、結果として昇格された権限で実行できる可能性があります。

  • CWE (Common Weakness Enumeration): CWE-282: Improper Ownership Management

1.1 影響

非特権のローカルユーザーがシステム上でroot権限に昇格できる可能性があります。 この脆弱性は、マルチテナント環境やコンテナ化されたインフラストラクチャにおいて特に危険です。

1.2 深刻度

  • CVSS v3 基本スコア: NVD (National Vulnerability Database) では7.8(高)と評価されています。 Red Hatは7.0(重要/高)と評価しています。
  • CISA KEV (Known Exploited Vulnerabilities) カタログへの追加: CISA (米国サイバーセキュリティ・インフラストラクチャセキュリティ庁) は、この脆弱性が実際に悪用されていることを確認し、KEVカタログに追加しました。
  • 悪用可能性: 悪用は容易であり、オープンソースの概念実証(PoC)エクスプロイトが公開されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

  • Linuxカーネル: バージョン5.11から5.15.91未満、および5.16から6.1.9未満、ならびに6.2-rc5までのバージョンが影響を受けます。 一般的に、カーネルバージョン6.2未満のシステムは脆弱である可能性が高いです。
  • ディストリビューション:
    • Canonical Ubuntu Linux 18.04 LTS, 20.04 LTS, 22.04 LTS
    • Debian Linux 10およびDebian LTS
    • Red Hat Enterprise Linux (RHEL) 8.6以降のバージョン、およびRHEL 7, 8, 9。ただし、RHEL 8.4などの以前のリリースは影響を受けません。
    • Amazon Linux
    • NetApp H300S, H500S, H700S, H410S, H410Cおよび関連ファームウェア(Linux Kernelバージョン6.2-rc6より前のもの)
    • Windows Subsystem for Linux (WSL) も影響を受ける可能性があります。

2.2 影響を受ける設定

  • OverlayFSが有効になっているシステム。
  • ユーザー名前空間を作成する能力を持つローカルユーザー(ほとんどの最新のLinuxディストリビューションでデフォルトの機能)。
  • nosuidフラグが競合するOverlayFSマウントが存在する場合。
  • ソースファイルシステムに特定の機能を持つバイナリが存在する場合。
  • 脆弱性は、nosuidマウントされたファイル(setuidビットが無視される)から、nosuidを強制しないオーバーレイマウントにファイルをコピーする際に発生します。

3. 影響を受けた時の兆候

以下の兆候が確認される可能性があります。

  • ユーザー書き込み可能なディレクトリまたは/tmpのオーバーレイ上位ディレクトリに、予期しないsetuidまたは機能を持つバイナリが出現する。
  • 非特権ユーザーが非システムパスからsetuidバイナリを生成し、UID 0(root)権限を取得するプロセス実行チェーン。
  • 非rootユーザーによる、ユーザー名前空間(unshare -Uまたはclone(CLONE_NEWUSER))の作成に続いて、即座にoverlayファイルシステムタイプのmountシステムコールが実行される。
  • 特権のないUIDから発信されたfstype=overlaymountシステムコールを示すカーネル監査イベント。
  • SIEM(セキュリティ情報イベント管理)で異常なマウントアクティビティを監視することでも検出可能です。

4. 推奨対策

4.1 本対策

  • 可能な限り速やかに、各ベンダーから提供されるカーネルアップデートを適用してください。 特にマルチテナント環境や共有アクセスシステムでは優先的に対応してください。
  • カーネルパッケージの適用後、影響を受けるシステムを再起動するか、ディストリビューションがサポートしている場合はライブパッチを適用してください。
  • コミット4f11ada10d0aが組み込まれたカーネルバージョン、またはベンダーが提供するバックポートバージョンにアップグレードしてください。
  • 具体的なアップデート情報:
    • Ubuntuユーザー: 各影響リリースに指定されたカーネルライブパッチにアップデートしてください。
    • Debian 10 busterユーザー: linux-5.10パッケージをバージョン5.10.179-1~deb10u1にアップグレードしてください。
    • NetApp製品ユーザー: NetAppのセキュリティアドバイザリに従って修正措置を講じてください。

4.2 暫定回避策(緩和策)

  • アプリケーションのワークロードで必要とされない場合は、非特権ユーザー名前空間の作成を無効にしてください。
  • overlayファイルシステムでの新規マウントの作成を制限してください。
  • overlayモジュールのロードをブロックする(例: ブラックリストに登録する)ことで、ロードされないようにしてください。
  • Linuxサーバー上でシェルアクセスを持つローカルユーザーアカウントを監査し、パッチ適用までの間、露出を減らしてください。

その他に解説すべき観点

  • 発見から公開までのタイムライン:
    • 2023年1月27日: Linuxソースツリーでパッチが適用されました。
    • 2023年3月22日: NIST NVDでCVE-2023-0386として公開されました。
    • 2023年5月4日: GitHubで概念実証(PoC)エクスプロイトが出現しました。
  • CISA KEVカタログへの追加: CISAは2025年6月17日(Armisによると2023年6月14日)にこの脆弱性をKEVカタログに追加しました。 これは、この脆弱性が実際に悪用されていることを意味します。連邦政府機関は、2025年7月8日までに必要な緩和策を適用することが義務付けられました。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る