OverlayFS - CVE-2021-3493
Exploit a 2021 Kernel vulnerability in Ubuntu to become root almost instantly!
Overview
OverlayFS adalah modul kernel Linux yang memungkinkan sistem menggabungkan beberapa mount point menjadi satu. Dengan begitu, semua file dari masing-masing mount point tersebut dapat diakses dalam satu struktur direktori. OverlayFS sering digunakan pada live USB atau aplikasi khusus lainnya. Salah satu penggunaannya adalah membuat root file system bersifat read-only, lalu menambahkan partisi lain sebagai overlay agar aplikasi tetap bisa menulis data ke sistem file sementara.
Sumber bacaan tambahan disediakan pada tugas terakhir (Further Reading) jika ingin mempelajari lebih lanjut tentang OverlayFS dan eksploitasi yang berkaitan dengannya. Banner ruangan oleh Maksym Kaharlytskyi (Unsplash).
Catatan
- OverlayFS adalah fitur kernel Linux untuk menggabungkan beberapa filesystem.
- File dari beberapa mount point bisa diakses dalam satu direktori.
- Umumnya digunakan pada:
- Live USB
- Sistem dengan kebutuhan khusus
- Fungsi utama:
- Menggabungkan filesystem read-only dengan filesystem writeable
- Perubahan disimpan di filesystem overlay (sementara)
- Cocok untuk sistem yang:
- Tidak ingin root filesystem diubah permanen
- Membutuhkan keamanan atau efisiensi
- Terkait juga dengan:
- Konsep filesystem layering
- Potensi eksploitasi kernel (dibahas di materi lanjutan)
Tentang Kerentanan (Vulnerability)
Baru-baru ini, SSD-Disclosure merilis sebuah proof of concept (PoC) beserta penjelasan yang sangat baik mengenai sebuah eksploit kernel Ubuntu (https://ssd-disclosure.com/ssd-advisory-overlayfs-pe/).
Kerentanan ini sangat serius, karena overlayfs merupakan modul kernel yang terpasang secara default pada Ubuntu 18.04 Server.
Jika sistem tersebut rentan, maka penyerang dapat dengan sangat mudah melakukan eskalasi hak akses dari user biasa menjadi root, selama masih bisa menjalankan sebuah file biner.
Jika pada mesin target tidak tersedia compiler C, maka file biner dapat dikompilasi secara statis di mesin lain, lalu hanya binernya saja yang dipindahkan ke sistem target.
Kredensial untuk SSH
- Username: overlay
- Password: tryhackme123
Jika menggunakan mesin berbasis web, disarankan untuk membuka tampilan layar penuh (klik ikon ⛶) agar lebih mudah melakukan copy/paste kode exploit.
Catatan (Ringkasan Penting)
- Kerentanan berasal dari OverlayFS pada kernel Ubuntu
- Dipublikasikan oleh SSD-Disclosure
- Target utama: Ubuntu 18.04 Server
- Dampak:
- Privilege Escalation
- Dari user biasa → root
- Syarat eksploitasi:
- Bisa menjalankan file biner
- Tidak wajib ada compiler di target (bisa compile di luar)
- Risiko tinggi karena:
- OverlayFS aktif secara default
- Eksploitasi relatif mudah
solution
ssh overlay@10.49.183.188
# pass: tryhackme123
nano exp.c
# paste the exploit code from https://ssd-disclosure.com/ssd-advisory-overlayfs-pe/
gcc -o exp exp.c
cat /root/flag.txt
# thm{27aaa5865a52dcd4cb04c0e0a2d39404}Ingin tahu lebih banyak tentang OverlayFS?
- https://yagrebu.net/unix/rpi-overlay.md Sistem root file system read-only dengan OverlayFS agar aplikasi tetap dapat berjalan normal.
- https://wiki.archlinux.org/index.php/Overlay_filesystem Halaman Arch Wiki tentang OverlayFS (meskipun penulis tidak menggunakan Arch Linux).
Ingin tahu lebih banyak tentang CVE ini?
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3493 Entri CVE di Mitre untuk kerentanan ini, berisi banyak referensi lanjutan.
- https://ssd-disclosure.com/ssd-advisory-overlayfs-pe/ Sumber kode PoC (Proof of Concept) yang digunakan, sekaligus penjelasan teknis yang sangat jelas mengenai kerentanannya.
Catatan
- OverlayFS:
- Digunakan untuk menggabungkan filesystem read-only dan writeable
- Umum dipakai pada sistem embedded & live environment
- CVE-2021-3493:
- Kerentanan privilege escalation pada OverlayFS
- Memungkinkan user biasa naik menjadi root
- Sumber penting:
- Arch Wiki → dokumentasi teknis OverlayFS
- SSD-Disclosure → analisis kerentanan + PoC
- Mitre CVE → referensi resmi & detail kerentanan