Vulnerabilidad de Linux explotada CVE-2023-0386

Una vulnerabilidad de Linux está siendo explotada por actores maliciosos para obtener privilegios de administrador o accesos privilegiados (root). La vulnerabilidad en cuestión, identificada como "CVE-2023-0386", fue clasificada con una criticidad alta y un score CVSS de 7.8. 

 

La CVE-2023-0386 fue publicada el 27 de marzo de 2023 y trata sobre una falla a nivel del kernel de Linux. Esta falla reside en el archivo setuid, que se encuentra en el subsistema OverlayFS, y se activa cuando un usuario copia un archivo con capacidades de un montaje a otro con nosuid. Este error permite que un usuario local pueda escalar privilegios en el sistema afectado. 

 

Aunque la vulnerabilidad ya tiene dos años, recientemente se ha descubierto que está siendo explotada por actores maliciosos para obtener privilegios elevados. La importancia de que esta CVE esté siendo explotada, y aunque no está claro cómo se explota puntualmente, la CISA la ha agregado a su catálogo de vulnerabilidades conocidas explotadas (KEVs). 

 

 

Diagrama de explotación de la vulnerabilidad. 

 

Las distribuciones afectadas por esta CVE son amplias, abarcando prácticamente todas las que utilizan un kernel de Linux anterior a la versión 6.2-rc6. Esto significa que un gran espectro de distribuciones es susceptible a esta vulnerabilidad. 

Versiones Afectadas

Todas las anteriores a Linux Kernel 6.2-rc6  

Recomendaciones

• Actualizar la versión del Kernel a la 6.2 o superior. 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Gatlan, S. (2025. Junio 18) CISA warns of attackers exploiting Linux flaw with PoC exploit. Recuperado el 18 de Junio del 2025 en: https://www.bleepingcomputer.com/news/security/cisa-warns-of-attackers-exploiting-linux-flaw-with-poc-exploit/ 
    
2. CISA. (2025. Junio 17) CISA Adds One Known Exploited Vulnerability to Catalog. Recuperado el 18 de Junio del 2025 en: https://www.bleepingcomputer.com/news/security/cisa-warns-of-attackers-exploiting-linux-flaw-with-poc-exploit/ 
    
3. Lakshmanan, R. (2025. Junio 18) CISA Warns of Active Exploitation of Linux Kernel Privilege Escalation Vulnerability. Recuperado el 18 de Junio del 2025 en: https://www.bleepingcomputer.com/news/security/cisa-warns-of-attackers-exploiting-linux-flaw-with-poc-exploit/ 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios