В современном мире информационных технологий и цифровой безопасности постоянное обновление и защита операционных систем являются критически важными аспектами безопасности корпоративных и государственных инфраструктур. В июне 2025 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустило предупреждение, касающееся активной эксплуатации опасной уязвимости в ядре Linux, затрагивающей подсистему OverlayFS. Эта уязвимость с идентификатором CVE-2023-0386 способна предоставить злоумышленникам возможность локального повышения привилегий вплоть до получения root-прав, что является серьезной угрозой для безопасности операционных систем на базе Linux. Уязвимость возникла из-за неправильного управления владением (ownership) в ядре Linux при работе с файловой системой OverlayFS — современным механизмом, позволяющим объединять несколько файловых систем в одну, обеспечивая гибкое управление данными и изоляцию процессов. Проблема заключается в том, что злоумышленник, локально имеющий доступ к системе, может эксплуатировать ошибку в обработке файлов с setuid флагом, скопированных с montированного носителя без права setuid (nosuid) в другое место, где настройки позволяют выполнение setuid файлов.
Таким образом, украинский баг управляет UID (user identifier), позволяя пересоздавать права доступа и получить привилегии root. Данный дефект безопасности был исправлен в январе 2023 года, а публичное раскрытие и публикация информации о нем произошли весной 2023 года — спустя два месяца после выпуска патча. Однако ситуация осложнилась после того, как несколько обладающих доказательствами концепции (PoC) эксплойтов были опубликованы на GitHub в мае 2023 года, что значительно упростило технически подкованным злоумышленникам возможность автоматизировать и начать атаку на уязвимые системы. Аналитики из Datadog Security Labs отметили, что CVE-2023-0386 весьма прост в эксплуатации и распространяется на широкий спектр популярных дистрибутивов Linux, таких как Debian, Red Hat, Ubuntu и Amazon Linux, при условии, что ядро системы не обновлено до версии 6.2 или выше.
Это значит, что миллионы серверов, рабочих станций и встроенных устройств уязвимы к данной атаке, если своевременно не были применены исправления. В своем официальном сообщении CISA особо подчеркнуло, что эта уязвимость наиболее опасна именно для государственных учреждений США, поскольку многочисленные федеральные агентства задействуют системы Linux в своей инфраструктуре. С учетом Binding Operational Directive (BOD) 22-01 от ноября 2021 года по обязательному реагированию на активно эксплуатируемые уязвимости, все федеральные организации должны срочно обеспечить обновления и исправления в срок до 8 июля 2025 года. Несоблюдение этой директивы грозит значительными операционными и репутационными рисками. Помимо предупреждения CISA, специалисты из Qualys Threat Research Unit (TRU) дали дополнительный знак тревоги, обнаружив новейшие локальные уязвимости повышения привилегий (например, CVE-2025-6019), которые также охватывают популярные дистрибутивы Linux и могут быть использованы для получения root-доступа без особых трудностей.
Познания исследователей позволили создать PoC-эксплойты для тестирования и демонстрации угрозы, что служит предостережением для системных администраторов и инженеров безопасности. Важно отметить, что современные методы эксплуатации подобных уязвимостей могут стать частью сложных многоэтапных атак, где злоумышленник сначала получает ограниченный доступ, а затем, используя баги локального повышения привилегий, распространяется на глубинные системные уровни, обеспечивая долгосрочный контроль над инфраструктурой. Внедрение таких эксплойтов позволяет проводить несанкционированный сбор данных, манипуляции с системными процессами, установку вредоносных программ и даже создание устойчивого скрытого присутствия, что крайне опасно в условиях государственной или корпоративной критической инфраструктуры. Для расследования и сопряженного реагирования на выявление использования CVE-2023-0386 и подобных уязвимостей рекомендуется использовать актуальные версии средств мониторинга безопасности, включая средства комплексного обнаружения вторжений (IDS/IPS), аналитику поведения пользователей и механизмов управления уязвимостями. Регулярные обновления системных компонентов и своевременное применение патчей остаются ключевыми мерами предотвращения эксплуатации подобных недостатков.
Помимо технических мер, предлагается проводить обучение сотрудников и системных администраторов в области своевременного реагирования на уязвимости и принципов безопасного конфигурирования Linux-систем. Особое внимание следует уделять обзору политик монтирования файловых систем, правильной настройке флагов безопасности, а также ограничению доступа к привилегированным операциям, что существенно уменьшает риск реализации атаки. Появление таких уязвимостей и быстрое появления PoC-кода в открытом доступе подчеркивают, что экосистема открытого программного обеспечения, хотя и обеспечивает гибкость и прозрачность, требует повышенного уровня осведомленности и дисциплины для обеспечения безопасности. В целом, предупреждение от CISA подчёркивает серьёзность и актуальность проблемы, требуя от организаций, работающих с Linux, уделять приоритетное внимание обновлению систем, эффективному управлению уязвимостями и повышению общего уровня кибербезопасности. Отсутствие быстрого реагирования на эксплуатацию выявленных багов может привести к серьёзным последствиям, включая компрометацию критичных данных, нарушение работоспособности систем и репутационные потери.
Подводя итог, можно сказать, что ситуация с активной эксплуатацией CVE-2023-0386 демонстрирует необходимость постоянного мониторинга и адаптации стратегий безопасности под динамично меняющиеся условия угроз. Использование современных технологий анализа угроз, сотрудничество с профильными экспертами и соблюдение регламентов безопасности остаются залогом надежной защиты Linux-инфраструктур от киберугроз.
