Ты не скачивал вирус. Не открывал вложения. Просто был на сервере с Linux — а root уже у чужака в руках

Американское агентство по кибербезопасности и защите критической инфраструктуры ( CISA ) официально внесло в реестр активно эксплуатируемых уязвимостей (KEV) опасный сбой в ядре Linux — CVE-2023-0386 . Речь идёт о баге, который в последние месяцы стал использоваться в реальных атаках, несмотря на то что патч для него был выпущен ещё в начале 2023 года.

Уязвимость кроется в подсистеме OverlayFS — механизме, предназначенном для объединения нескольких файловых слоёв и активно применяемом в контейнерах и Live-дистрибутивах. Ошибка возникает при переносе исполняемых файлов с расширенными правами между монтированными томами: система не проверяет, принадлежит ли пользователь корректному пространству имён, что даёт возможность подмены прав доступа.

Согласно исследованию Datadog, опубликованному в мае 2023 года, эксплуатация бреши не представляет особой сложности. Атакующий может создать файл с флагом SUID в директории вроде /tmp, фактически получив доступ к привилегиям root-пользователя. Простота такого подхода делает уязвимость особенно привлекательной для массового использования через автоматические инструменты.

Хотя разработчики довольно оперативно устранили сбой, в 2024 году CISA зафиксировала его активное применение вредоносными группировками. Каким именно образом используется эксплойт, не раскрывается, но включение в каталог KEV однозначно указывает на текущую эксплуатацию в дикой среде.

Ошибка затрагивает ключевой защитный механизм Linux — пространства имён, отвечающие за разграничение пользовательских прав и изоляцию процессов. Из-за недоработки в реализации наложенных файловых систем становится возможным загрузить исполняемый объект из одного слоя в другой и инициировать его выполнение с административными полномочиями. Особенно критично это в средах с несколькими пользователями или контейнерной архитектурой.

Дополнительную угрозу вскоре выявили специалисты из компании Wiz, обнаружив две смежные уязвимости — CVE-2023-32629 и CVE-2023-2640 . Объединённые под названием GameOver(lay), они позволяли создавать специальные исполняемые файлы, запускавшиеся с системными правами. Как и в случае с CVE-2023-0386, слабым звеном выступает некорректная логика OverlayFS, позволяющая обойти базовые ограничения.

В связи с возрастающим риском CISA предписала всем федеральным гражданским ведомствам (FCEB) установить соответствующие обновления до 8 июля 2025 года. Мера направлена на минимизацию вероятности атак и повышение устойчивости правительственной ИТ-инфраструктуры к подобным техникам эскалации .

Стоит учитывать, что потенциальная опасность касается не только государственных структур. Все системы на базе Linux , где используется уязвимая реализация OverlayFS, находятся под угрозой. Особенно уязвимы серверы с публичным доступом, облачные платформы и CI/CD-инфраструктуры, полагающиеся на корректную работу изоляционных механизмов.

Даже при активированных политиках безопасности вроде AppArmor или SELinux эксплойт способен обойти ограничения, если ядро не обновлено. Дополнительный фактор риска — автономность атаки: она не требует сторонних библиотек и может быть реализована средствами, уже присутствующими в системе.

Надёжная защита — это не просто брандмауэр или антивирус , а постоянный контроль актуальности системных компонентов и аудит прав доступа к SUID-файлам, особенно в открытых и распределённых окружениях.