CISA ha agregado una vulnerabilidad crítica del kernel de Linux a su catálogo de vulnerabilidades explotadas conocidas (KEV), advirtiendo que CVE-2023-0386 está siendo explotada activamente en ataques del mundo real.
Esta falla de administración de propiedad inadecuada en el subsistema OverlayFS del kernel de Linux permite a atacantes locales escalar privilegios a través del acceso no autorizado a archivos setuid con capacidades, lo que plantea riesgos significativos para los sistemas basados en Linux en todos los entornos empresariales.
La vulnerabilidad, designada oficialmente como CVE-2023-0386, reside dentro del subsistema OverlayFS del kernel de Linux, un sistema de archivos de unión que permite superponer un sistema de archivos sobre otro.
La falla surge de una gestión inadecuada de la propiedad durante las operaciones de archivos entre diferentes puntos de montaje con diferentes contextos de seguridad.
Específicamente, la vulnerabilidad ocurre cuando un usuario copia un archivo compatible de una montura nosuid a otra montura, lo que desencadena un error de mapeo de uid que elude las restricciones de privilegios normales.
La causa raíz técnica se relaciona con CWE-282 (Gestión de propiedad incorrecta), donde el kernel no valida ni aplica correctamente los permisos de propiedad durante las operaciones de copia de archivos a través de los límites del sistema de archivos.
Al explotar esta vulnerabilidad, los atacantes pueden manipular el mecanismo setuid, que normalmente permite que los programas se ejecuten con privilegios elevados del propietario del archivo en lugar de los del usuario que ejecuta el programa.
La implementación de OverlayFS maneja incorrectamente la herencia de capacidades durante estas operaciones de montaje cruzado, lo que permite una escalada de privilegios no autorizada.
Los atacantes locales pueden aprovechar CVE-2023-0386 para escalar sus privilegios de cuentas de usuario estándar a acceso administrativo o de nivel raíz en los sistemas Linux afectados.
La vulnerabilidad afecta a los sistemas que ejecutan versiones vulnerables del kernel de Linux con OverlayFS habilitado, lo cual es común en entornos en contenedores y distribuciones modernas de Linux.
La escalada de privilegios se produce mediante la manipulación de las capacidades de los archivos durante las operaciones de copia entre puntos de montaje con diferentes configuraciones de nosuid.
Los atacantes pueden crear archivos con capacidad maliciosa y aprovechar la falla de mapeo de uid para ejecutarlos con privilegios elevados a pesar de las restricciones de seguridad.
Este tipo de vulnerabilidad es especialmente peligrosa en entornos de múltiples inquilinos, infraestructura en contenedores y sistemas donde el principio de privilegio mínimo es fundamental para mantener los límites de seguridad.
CISA ha establecido un cronograma de remediación obligatorio, exigiendo que las agencias federales apliquen mitigaciones antes del 8 de julio de 2025, luego de la adición de la vulnerabilidad al catálogo KEV el 17 de junio de 2025.
Las organizaciones deben implementar de inmediato los parches proporcionados por los proveedores o aplicar mitigaciones alternativas de acuerdo con las instrucciones del fabricante.
Para entornos de servicios en la nube, los administradores deben seguir la guía BOD 22-01 aplicable para garantizar una protección integral en toda la infraestructura distribuida.
La estrategia de mitigación recomendada implica la aplicación de actualizaciones del kernel que aborden la falla de administración de propiedad de OverlayFS.
Los administradores de sistemas deben priorizar la aplicación de parches a las versiones del kernel de Linux que incluyen la implementación vulnerable de OverlayFS, particularmente en entornos de producción que manejan datos confidenciales o respaldan operaciones comerciales críticas.
Las organizaciones que no puedan aplicar parches de inmediato deberían considerar deshabilitar temporalmente la funcionalidad OverlayFS o implementar controles de acceso adicionales para limitar los privilegios de los usuarios locales hasta que se puedan implementar correcciones permanentes.
