সাম্প্রতিক দিনগুলিতে, মার্কিন সাইবারসিকিউরিটি এবং অবকাঠামো সুরক্ষা সংস্থা (সিআইএসএ) এর সক্রিয় শোষণ সম্পর্কে একটি জরুরি সতর্কতা জারি করেছে দুর্বলতার জন্য CVE-2023-0386, লিনাক্স কার্নেলে সনাক্ত করা হয়েছে। উচ্চ তীব্রতা হিসাবে চিহ্নিত এই দুর্বলতাটি ওভারলেএফএস সাবসিস্টেমের মধ্যে মালিকানা অনুমতি পরিচালনার একটি ত্রুটি হিসাবে চিহ্নিত করা হয়েছে। শোষণ স্থানীয় ব্যবহারকারীদের বিশেষাধিকার বৃদ্ধি করতে এবং প্রশাসক অ্যাক্সেস পেতে দেয়, যা যেকোনো প্রভাবিত লিনাক্স সিস্টেমকে ঝুঁকির মধ্যে ফেলে।
ত্রুটিটি বিশেষভাবে উদ্বেগজনক কারণ এটি সার্ভার এবং ভার্চুয়াল মেশিন থেকে শুরু করে ক্লাউড পর্যন্ত বিভিন্ন ধরণের পরিবেশকে প্রভাবিত করে।, কন্টেইনার এবং এমনকি উইন্ডোজ সাবসিস্টেম ফর লিনাক্স (WSL) ডিপ্লয়মেন্টেও। এই ধরণের পরিস্থিতিতে, যেখানে ব্যবহারকারীদের মধ্যে বিশেষাধিকার বিভাজন অত্যন্ত গুরুত্বপূর্ণ, উপযুক্ত প্যাচ প্রয়োগ না করা হলে গুরুতরভাবে আপস করা যেতে পারে।
CVE-2023-0386 দুর্বলতা কী?
সমস্যার উত্স বিভিন্ন মাউন্ট পয়েন্টের মধ্যে বিশেষ ক্ষমতা সহ OverlayFS ফাইল কপি অপারেশনগুলি কীভাবে পরিচালনা করে তার উপর নির্ভর করে। বিশেষ করে, যদি একজন ব্যবহারকারী একটি মাউন্ট থেকে উন্নত অনুমতি সহ একটি ফাইল কপি করে যা কনফিগার করা হয়েছে nosuid অন্য মাউন্টে, কার্নেল অপারেশনের সময় setuid এবং setgid বিটগুলি সঠিকভাবে অপসারণ করে না। এটি এমন আক্রমণকারীর জন্য দরজা খুলে দেয় যার ইতিমধ্যেই স্থানীয় অ্যাক্সেস রয়েছে রুট অনুমতি সহ ফাইলগুলি চালানোর জন্য, স্বাভাবিক বিধিনিষেধগুলিকে এড়িয়ে।
ক্ষতিগ্রস্থতা 6.2-rc6 এর পূর্ববর্তী কার্নেল সংস্করণগুলিকে প্রভাবিত করে যেসব ডিভাইসে ওভারলেএফএস এবং ইউজার নেমস্পেস সক্রিয় আছে। ডেবিয়ান, উবুন্টু, রেড হ্যাট এবং অ্যামাজন লিনাক্সের মতো বহুল ব্যবহৃত ডিস্ট্রিবিউশনগুলি যদি সংশ্লিষ্ট আপডেট না পায় তবে দুর্বল সিস্টেমের তালিকায় রয়েছে। তদুপরি, ২০২৩ সালের মে মাস থেকে গিটহাবে প্রুফস অফ কনসেপ্ট (পিওসি) প্রকাশের মাধ্যমে ত্রুটিটি কতটা সহজে কাজে লাগানো যেতে পারে তা প্রমাণিত হয়েছে, যার ফলে শোষণের প্রচেষ্টা নাটকীয়ভাবে বৃদ্ধি পেয়েছে।
জটিল পরিবেশে সুযোগ এবং বিপদ
ওভারলেএফএস-এ CVE-2023-0386 কে সম্পত্তি ব্যবস্থাপনার দুর্বলতা (CWE-282) হিসাবে শ্রেণীবদ্ধ করা হয়েছিল।, এবং মাল্টি-টেন্যান্ট সিস্টেম, এন্টারপ্রাইজ, এমনকি ক্লাউড প্ল্যাটফর্মগুলিতে ব্যবহারকারীর সীমানা অতিক্রম করার জন্য এটি ব্যবহার করা যেতে পারে। ভৌত বা ভার্চুয়াল মেশিন, কন্টেইনার, বা ফাইল শেয়ারিংয়ের উপর নির্ভরশীল অবকাঠামো যাই হোক না কেন, স্থানীয় সুবিধাগুলি যে সহজে বৃদ্ধি করতে পারে তার কারণে ত্রুটিটি যথেষ্ট ঝুঁকি তৈরি করে।
ডেটাডগ এবং কোয়ালিসের মতো নিরাপত্তা সংস্থাগুলির বেশ কয়েকটি বিশ্লেষণ অনুসারে, শোষণ তুচ্ছ। আক্রমণ শুরু করার জন্য স্থানীয় অ্যাক্সেসই যথেষ্ট, অতিরিক্ত কোনও মিথস্ক্রিয়ার প্রয়োজন হয় না। এটি অভ্যন্তরীণ আক্রমণকারী, আপোসযুক্ত প্রক্রিয়া, অথবা প্রশাসনিক সুবিধা ছাড়া ব্যবহারকারীদের পরিচালনা করার অনুমতি দেওয়া পরিস্থিতির জন্য এটিকে একটি আদর্শ ভেক্টর করে তোলে। প্রকৃতপক্ষে, স্বয়ংক্রিয় প্রচারণাগুলি লক্ষ্য করা গেছে যা এখনও প্যাচ করা হয়নি এমন সিস্টেমগুলি অনুসন্ধান করে এবং শোষণ করে, বিশেষ করে পাবলিক টুল এবং শোষণ প্রকাশের পরে।
শিল্প প্রতিক্রিয়া এবং আপডেট
২০২৩ সালের গোড়ার দিকে মিক্লোস সেরেডি এই বাগটি রিপোর্ট করেছিলেন এবং ঠিক করেছিলেন।, লিনাক্স কার্নেলের একটি মূল ডেভেলপার, একটি ডেডিকেটেড কমিট (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3) এর মাধ্যমে। প্যাচটি কপি অপারেশনের সময় ব্যবহারকারী এবং গোষ্ঠী পরীক্ষাকে আরও শক্ত করে তোলে, বর্তমান নেমস্পেসে UID বা GID ম্যাপিং অবৈধ হলে ধারাবাহিকতা রোধ করে। এটি POSIX ACL-এর সাথে সামঞ্জস্য নিশ্চিত করার জন্য এবং এমন পরিস্থিতি প্রতিরোধ করার জন্য যেখানে ডিফল্ট UID/GID 65534 বরাদ্দ করা হয়েছিল, যা হেরফের করা যেতে পারে।
নেটঅ্যাপের মতো নির্মাতারা প্রথমে প্রভাবিত পণ্যের বিস্তারিত পরামর্শ প্রকাশ করেছিল।, যার মধ্যে রয়েছে বেশ কিছু কন্ট্রোলার মডেল এবং পণ্য যা প্রি-প্যাচ করা কার্নেল সংস্করণগুলিকে একীভূত করে। তারা নিশ্চিত করে যে শোষণের ফলে ডেটা অ্যাক্সেস, তথ্য পরিবর্তন, এমনকি পরিষেবা অস্বীকার (DoS) আক্রমণও হতে পারে। রেড হ্যাট এবং অন্যান্য বিক্রেতারাও আপডেট করা শুরু করেছে এই দুর্বলতা মোকাবেলা করার জন্য।
এই দুর্বলতার বিরুদ্ধে নিজেকে রক্ষা করার জন্য সুপারিশ এবং জরুরি ব্যবস্থা
মার্কিন সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) তাদের শোষিত দুর্বলতার তালিকায় CVE-2023-0386 যুক্ত করেছে এবং মার্কিন ফেডারেল এজেন্সিগুলিকে 8 জুলাই, 2025 সালের মধ্যে আপডেট করতে বলেছে। অন্যান্য সমস্ত সংস্থা এবং ব্যবহারকারীদের জন্য, সুপারিশটি স্পষ্ট:
- বাগটি ঠিক করতে লিনাক্স কার্নেল 6.2-rc6 বা তার উচ্চতর সংস্করণে আপগ্রেড করুন।
- অস্বাভাবিক সুবিধাজনক আচরণের জন্য সিস্টেমগুলি পর্যবেক্ষণ করুন, বিশেষ করে কন্টেইনার, একাধিক ব্যবহারকারী বা গুরুত্বপূর্ণ অবকাঠামো সহ পরিবেশে।
- যেসব পরিবেশে প্যাচটি তাৎক্ষণিকভাবে প্রয়োগ করা যাবে না, সেখানে OverlayFS অস্থায়ীভাবে অক্ষম করার বা প্রশাসনিক নয় এমন ব্যবহারকারীদের জন্য স্থানীয় অ্যাক্সেস যতটা সম্ভব সীমাবদ্ধ করার পরামর্শ দেওয়া হচ্ছে।
- অফিসিয়াল নোটিশ এবং ক্যাটালগ (CISA's KEV) দেখুন এবং দুর্বলতাকে অগ্রাধিকার হিসাবে বিবেচনা করুন।
নির্ধারিত আক্রমণ ভেক্টরটি CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H এর সাথে মিলে যায়।, সফলভাবে কাজে লাগানো হলে গোপনীয়তা, সততা এবং প্রাপ্যতার উপর উচ্চ সম্ভাব্য প্রভাব প্রতিফলিত করে।
এই দুর্বলতা লিনাক্স সিস্টেমগুলিকে ক্রমাগত আপডেট এবং পর্যবেক্ষণ করার গুরুত্বকে তুলে ধরে, বিশেষ করে এন্টারপ্রাইজ পরিবেশে বা সংবেদনশীল ডেটা পরিচালনাকারী সংস্থাগুলিতে। যদিও শোষণের জন্য স্থানীয় অ্যাক্সেস প্রয়োজন, পাবলিক PoC এবং স্বয়ংক্রিয় আক্রমণের উপস্থিতি যত তাড়াতাড়ি সম্ভব যেকোনো দুর্বল ঘটনা সংশোধন করার তাগিদ বাড়িয়ে তোলে। এই পরিস্থিতিতে রুট করার জন্য বিশেষাধিকার বৃদ্ধি করলে অবকাঠামোর উপর সম্পূর্ণ নিয়ন্ত্রণ হারাতে পারে।
