Linux Kernel权限提升漏洞 (CVE-2023-32233) 安全风险通告

近日，奇安信CERT监测到 Linux Kernel 权限提升漏洞(CVE-2023-32233)，Linux Kernel 的 Netfilter nf_tables子系统存在释放后重用漏洞，在处理 Netfilter nf_tables 基本操作请求时，由于匿名集处理不当，导致可以任意读写内核内存，拥有低权限的本地攻击者可以利用该漏洞将权限提升至ROOT权限。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

漏洞名称	Linux Kernel 权限提升漏洞(CVE-2023-32233)
公开时间	2023-05-08	更新时间	2023-05-16
CVE编号	CVE-2023-32233	其他编号	QVD-2023-10769
威胁类型	权限提升	技术类型	释放后重用
厂商	Linux	产品	Kernel
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
已发现	已发现	未发现	已公开
漏洞描述	Linux Kernel 的 Netfilter nf_tables子系统存在释放后重用漏洞，在处理 Netfilter nf_tables 基本操作请求时，由于匿名集处理不当，导致可以任意读写内核内存，拥有低权限的本地攻击者可以利用该漏洞将权限提升至ROOT权限。
影响版本	v5.1-rc1 <= Linux Kernel <= 6.3.1
不受影响版本	Linux kernel > 6.3.1 Linux kernel < 5.1-rc1
其他受影响组件	无

奇安信CERT已成功复现该漏洞，截图如下：

威胁评估

漏洞名称	Linux Kernel 权限提升漏洞(CVE-2023-32233)
CVE编号	CVE-2023-32233	其他编号		QVD-2023-10769
CVSS 3.1评级	高危	CVSS 3.1分数		7.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	本地		低
	用户认证（Au）		用户交互（UI）
	低权限		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	拥有本地低权限的攻击者可以利用该漏洞将自身权限提升至ROOT权限，完全控制目标系统。

处置建议

1、更新版本

目前厂商已发布安全更新，受影响用户可以更新到安全版本:

Linux Kernel 5.15.111

Linux Kernel 6.1.28

Linux Kernel 6.2.15

Linux Kernel 6.3.2

2、缓解措施

1. 可以通过阻止加载受影响的 netfilter (nf_tables) 内核模块来缓解此漏洞。有关如何将内核模块列入黑名单的说明，请参阅https://access.redhat.com/solutions/41278。

2. 如果无法卸载模块 netfilter，则还有一种缓解方法：

在 Red Hat Enterprise Linux 8 的非容器化部署中，您可以通过将 user.max_user_namespaces 设置为 0 来禁用用户命名空间：

#echo"user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf# sysctl -p /etc/sysctl.d/userns.conf

在 Red Hat OpenShift 容器平台等容器化部署中，请勿使用此缓解措施，因为需要启用该功能。

产品解决方案

奇安信开源卫士已支持

奇安信开源卫士20230516. 265版本已支持对Linux Kernel 权限提升漏洞(CVE-2023-32233)的检测。

参考资料

[1]https://www.openwall.com/lists/oss-security/2023/05/15/5

[2]https://access.redhat.com/security/cve/cve-2023-32233

[3]https://ubuntu.com/security/CVE-2023-32233

[4]https://security-tracker.debian.org/tracker/CVE-2023-32233

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。