Theo phát hiện mới nhất của các nhà nghiên cứu bảo mật S. Tzadik và S. Tamari tại Wiz, hai lỗ hổng leo thang đặc quyền mới, có tên mã là “GameOver(Lay)” trong Filesystem OverlayFS phổ biến, ảnh hưởng đến 40% người dùng Ubuntu trên toàn cầu. Hãy cùng xem chi tiết về cả hai lỗ hổng này, cùng với các bước để kiểm tra xem hệ thống Ubuntu của bạn có dễ bị tấn công hay không.
Contents
Lỗ Hổng Linux Nghiêm Trọng Ảnh Hưởng Đến Hệ Thống Ubuntu
CVE-2023-2640 là một lỗ hổng có mức độ nghiêm trọng cao (điểm CVSS v3: 7.8) ảnh hưởng đến Kernel Ubuntu trên phiên bản 5.15.0. Lỗ hổng này cho phép bất kỳ người dùng không có đặc quyền nào đặt các thuộc tính mở rộng có đặc quyền trên các tệp/hệ thống tệp đã gắn kết, cho phép họ có được các đặc quyền cao hơn đối với hệ thống.
CVE-2023-32629 là một lỗ hổng có mức độ nghiêm trọng trung bình (điểm CVSS v3: 5.4) ảnh hưởng đến tất cả các Kernel Linux có phiên bản 5.4.0. Đây là một leo thang đặc quyền cục bộ khai thác hệ thống quản lý bộ nhớ của kernel với tình trạng chạy đua khi truy cập VMA, dẫn đến thực thi mã tùy ý.
Những lỗ hổng này có thể bắt nguồn từ năm 2018, khi Ubuntu giới thiệu một số thay đổi cho phiên bản OverlayFS của riêng mình. Những thay đổi này đã gặp phải một số phản đối nghiêm trọng từ “Dự án Kernel Linux”, đặc biệt, việc thiết lập các thuộc tính mở rộng, xác định quyền của người dùng. Do đó, khi Linux phát hành bản sửa lỗi cho lỗ hổng vào năm 2020, những thay đổi này không được chuyển sang bản sửa đổi.
“Những thay đổi nhỏ trong kernel Linux do Ubuntu giới thiệu nhiều năm trước có những tác động không lường trước được,” Ami Luttwak, giám đốc kỹ thuật kiêm đồng sáng lập Wiz cho biết. “Chúng tôi đã tìm thấy hai lỗ hổng leo thang đặc quyền do những thay đổi này gây ra và ai biết có bao nhiêu lỗ hổng khác vẫn đang ẩn nấp trong bóng tối của spaghetti kernel Linux?”
“May mắn thay, mặc dù những lỗ hổng này rất dễ khai thác, nhưng chúng yêu cầu quyền truy cập của người dùng cục bộ, điều này sẽ hạn chế bề mặt tấn công”, Mike Parkin, kỹ sư kỹ thuật cấp cao tại Vulcan Cyber, cho biết. “Khai thác từ xa dường như rất khó xảy ra. Ubuntu đã phát hành các bản vá để giải quyết vấn đề và các triển khai sử dụng mô-đun OverlayFS bị ảnh hưởng nên cập nhật kernel của họ càng sớm càng tốt,” Parkin nói thêm.
Phiên Bản Ubuntu Nào Dễ Bị Tấn Công?
Theo Wiz, các phiên bản Ubuntu sau đây đã bị xâm phạm:
| Bản Phát Hành | Phiên Bản Kernel | CVE-2023-2640 | CVE-2023-32629 |
|---|---|---|---|
| Ubuntu 23.04 (Lunar Lobster) | 6.2.0 | Có | Có |
| Ubuntu 22.10 (Kinetic Kudu) | 5.19.0 | Có | Có |
| Ubuntu 22.04 LTS (Jammy Jellyfish) | 5.19.0 | Có | Có |
| Ubuntu 22.04 LTS (Jammy Jellyfish) | 6.2.0 | Có | Có |
| Ubuntu 22.04 LTS (Jammy Jellyfish) | 5.15.0 | Không | Không |
| Ubuntu 20.04 LTS (Focal Fossa) | 5.15.0 | Không | Không |
| Ubuntu 20.04 LTS (Focal Fossa) | 5.4.0 | Không | Có |
| Ubuntu 18.04 LTS (Bionic Beaver) | 5.4.0 | Không | Có |
Cách Kiểm Tra Hệ Thống Ubuntu Có Bị Ảnh Hưởng Hay Không?
Hãy sử dụng các bước sau để kiểm tra xem phiên bản Ubuntu của bạn có dễ bị tấn công hay không.
- Sử dụng lệnh này để kiểm tra phiên bản Ubuntu đã cài đặt trên hệ thống của bạn:
cat /etc/os-release- Bây giờ hãy kiểm tra số phiên bản kernel:
uname -r
Kiểm tra phiên bản kernel Ubuntu để xác định nguy cơ bảo mật
Giải Pháp Cho Lỗ Hổng Linux Trong Ubuntu
May mắn thay, Canonical đã phát hành một bản cập nhật mới để sửa tám lỗ hổng gần đây. Làm theo các bước sau để cập nhật hệ thống lên phiên bản kernel mới nhất (ví dụ: 6.2.0 hoặc phiên bản cao hơn tùy thuộc vào bản phân phối Ubuntu của bạn):
- Trước tiên, hãy cập nhật và nâng cấp hệ thống Ubuntu của bạn bằng lệnh sau:
sudo apt update && apt upgrade- Sau khi cập nhật hệ thống tiêu chuẩn, bạn cần khởi động lại máy tính để áp dụng các thay đổi cần thiết.
sudo shutdown -r nowCác biện pháp phòng ngừa bổ sung để bảo vệ hệ thống Ubuntu của bạn
Ngoài việc cập nhật hệ thống thường xuyên, bạn cũng có thể thực hiện các biện pháp phòng ngừa bổ sung sau để bảo vệ hệ thống Ubuntu của mình khỏi các lỗ hổng bảo mật:
- Sử dụng tường lửa: Tường lửa có thể giúp ngăn chặn các kết nối không mong muốn đến hệ thống của bạn, làm giảm nguy cơ bị tấn công.
- Cài đặt phần mềm diệt virus: Phần mềm diệt virus có thể giúp phát hiện và loại bỏ các phần mềm độc hại có thể khai thác các lỗ hổng bảo mật.
- Sử dụng mật khẩu mạnh: Mật khẩu mạnh có thể giúp ngăn chặn kẻ tấn công đoán được mật khẩu của bạn và truy cập vào hệ thống của bạn.
- Cập nhật phần mềm thường xuyên: Cập nhật phần mềm thường xuyên giúp đảm bảo rằng bạn có các bản vá bảo mật mới nhất, giúp bảo vệ hệ thống của bạn khỏi các lỗ hổng đã biết.
- Cẩn thận với các email và tệp đính kèm đáng ngờ: Không bao giờ mở các email hoặc tệp đính kèm từ những người gửi mà bạn không biết, vì chúng có thể chứa phần mềm độc hại.
- Sử dụng xác thực hai yếu tố: Xác thực hai yếu tố thêm một lớp bảo mật bổ sung cho tài khoản của bạn, khiến kẻ tấn công khó truy cập hơn ngay cả khi chúng có mật khẩu của bạn.
- Giám sát hệ thống của bạn: Giám sát hệ thống của bạn thường xuyên để tìm các dấu hiệu của hoạt động đáng ngờ. Nếu bạn phát hiện bất kỳ điều gì bất thường, hãy điều tra ngay lập tức.
1. Lỗ hổng “GameOver(Lay)” là gì và nó ảnh hưởng đến Ubuntu như thế nào?
“GameOver(Lay)” là tên mã của hai lỗ hổng leo thang đặc quyền trong Filesystem OverlayFS, ảnh hưởng đến khoảng 40% người dùng Ubuntu trên toàn cầu. Chúng cho phép người dùng không có đặc quyền có được quyền truy cập cao hơn vào hệ thống.
2. Làm thế nào để biết hệ thống Ubuntu của tôi có bị ảnh hưởng bởi các lỗ hổng này hay không?
Bạn có thể kiểm tra bằng cách sử dụng lệnh cat /etc/os-release để xác định phiên bản Ubuntu và uname -r để kiểm tra phiên bản kernel. So sánh các phiên bản này với danh sách các phiên bản bị ảnh hưởng được cung cấp trong bài viết.
3. Làm thế nào để khắc phục các lỗ hổng này trên hệ thống Ubuntu của tôi?
Canonical đã phát hành các bản cập nhật để khắc phục các lỗ hổng này. Bạn có thể cập nhật hệ thống của mình bằng lệnh sudo apt update && apt upgrade và sau đó khởi động lại máy tính bằng lệnh sudo shutdown -r now.
4. Tôi có cần thực hiện bất kỳ biện pháp phòng ngừa bổ sung nào sau khi cập nhật hệ thống của mình không?
Có, nên sử dụng tường lửa, cài đặt phần mềm diệt virus, sử dụng mật khẩu mạnh, cẩn thận với email đáng ngờ và giám sát hệ thống của bạn để đảm bảo an toàn.
5. OverlayFS là gì và nó hoạt động như thế nào?
OverlayFS là một hệ thống tệp hợp nhất, cho phép bạn xếp chồng hai hệ thống tệp lên nhau. Các thay đổi được ghi vào một lớp trên cùng, trong khi lớp dưới cùng vẫn không thay đổi. Nó thường được sử dụng trong các hệ thống container và hình ảnh trực tiếp.
6. Nếu tôi không sử dụng Ubuntu, tôi có cần lo lắng về các lỗ hổng này không?
Các lỗ hổng cụ thể được đề cập trong bài viết chủ yếu ảnh hưởng đến Ubuntu. Tuy nhiên, bạn nên cập nhật hệ thống của mình thường xuyên và tuân theo các biện pháp bảo mật tốt nhất, bất kể hệ điều hành bạn sử dụng.
7. Tôi có thể tìm thêm thông tin về các lỗ hổng này ở đâu?
Bạn có thể tìm thêm thông tin chi tiết về CVE-2023-2640 và CVE-2023-32629 trên trang web của NIST National Vulnerability Database (NVD).
Kết luận
Việc bảo mật hệ thống Ubuntu của bạn là rất quan trọng. Bằng cách làm theo các bước được nêu trong bài viết này, bạn có thể giúp bảo vệ hệ thống của mình khỏi các lỗ hổng bảo mật và các cuộc tấn công. Hãy nhớ cập nhật hệ thống thường xuyên, sử dụng mật khẩu mạnh và cẩn thận với các email và tệp đính kèm đáng ngờ.