Em geral, as distribuições GNU/Linux (como qualquer outro software) também são suscetíveis à vulnerabilidades e falhas de segurança, além de outros problemas relacionados ao seu desenvolvimento. Embora esta suscetibilidade possa variar de distro para distro, em geral aquelas distros concebidas para oferecer “o que há de mais moderno” em termos de infraestrutura de softwares e serviços, são as que mais sofrem por integrar componentes que não foram exaustivamente testados e validados, como é o caso do Fedora e do Ubuntu. E falando nesta última…
“CVE-2023-2640 and CVE-2023-32629 were found in the OverlayFS module in Ubuntu, which is a widely used Linux filesystem that became highly popular with the rise of containers as its features enable the deployment of dynamic filesystems based on pre-built images. OverlayFS serves as an attractive attack surface as it has a history of numerous logical vulnerabilities that were easy to exploit. This makes the new discovered vulnerabilities especially risky given the exploits for the past OverlayFS vulnerabilities work out of the box without any changes.”
— by Wiz (blog).
Pesquisadores da Wiz (empresa especializada em segurança & nuvem) descobriram duas sérias vulnerabilidades relacionadas ao sistema de arquivos OverlayFS (CVEs 2023-2640 e 2023-32629), possibilitando a escalação de privilégios em servidores baseados no sistema operacional Ubuntu Server, sem maiores dificuldades ou empecilhos para serem exploradas. Estas por sua vez, afetam os sistemas que geralmente utilizam tecnologias de containers e sistemas de arquivos baseados em pontos de montagem para múltiplos diretórios, designados para entregar imagens de sistemas prontas para serem inicializadas por serviços hospedados nas nuvens. Inclusive, elas já possuem um nome até bem… “criativo”: GameOver(lay)!
Porquê o Ubuntu (e não as demais distros)? Estas vulnerabilidades se tornaram exclusivas para este sistema, em vista de muitas alterações introduzidas ao sistema de arquivos OverlayFS há alguns anos (2018). O mesmo se deu em relação ao kernel Linux, que apesar de ter recebido as devidas correções para uma determinada vulnerabilidade tempos depois (2020), esta ainda se encontrava presente no Ubuntu, devido as mudanças feitas ao kernel pela Canonical. Tais personalizações acabaram contribuindo para criar as condições ideais para o surgimento destas vulnerabilidades, que felizmente podem ser corrigidas através de uma simples atualização de kernel.
Infelizmente, o OverlayFS já vem sofrendo com falhas e vulnerabilidades de segurança há tempos, devido a sua natureza e modo de funcionamento. Por ser bastante utilizado em imagens de containers, ele cria uma camada adicional no seu sistema de arquivos (daí o termo “overlay”), possibilitando a modificação de arquivos sem alterar a base do sistema (somente leitura). Porém, ele também acaba tornando possível os usuários realizarem operações críticas de forma não intencional, como ignorar determinadas opções de montagem (nodev ou nosuid), ao acessar sistemas de arquivos USB/FUSE. Para variar, os metadados críticos dos arquivos da imagem de base acabam sendo copiados, para esta camada adicional.
Em tempo: querem um sistema estável, seguro e funcional, para ser utilizado em aplicações mais críticas (como servidores)? Usem o Red Hat Enterprise Linux, caso possam pagar pela sua subscrição (e de quebra, ter à sua disposição um bom suporte técnico)! Ou então prefiram o Debian GNU/Linux, pois além de ser um sistema livre e gratuito, ele é concebido para oferecer as melhores experiências em termos de segurança e estabilidade, por contar com um repositório de pacotes exaustivamente testado (stable) e validado. Já para o uso em estações de trabalho e outras finalidades em que a segurança não é o principal requisito, distros como o próprio Ubuntu, o Fedora e o Mint fazem um excelente trabalho!
Ainda assim, parabenizo a Canonical pelas suas inovações (e ousadias)! &;-D