C
月内に
NFS(Network File System)の不適切な設定を利用して、Linuxサーバーで権限昇格を行う手法についての解説記事です
📌 一言でいうと
NFS(Network File System)の不適切な設定を利用して、Linuxサーバーで権限昇格を行う手法についての解説記事です。攻撃者がUID/GIDを偽装してNFS共有にアクセスし、setuidビットが設定されたバイナリを配置することで、root権限を奪取するプロセスが詳述されています。特にno_root_squashオプションが有効な環境におけるリスクを警告しています。
🔍該当判定
- Linuxサーバーで『NFS (Network File System)』を利用して、他のPCやサーバーとフォルダを共有している
- NFSの設定で、クライアント側からユーザーID (UID) を偽装してアクセスできる設定になっている
- NFS共有フォルダ内で、管理者権限で動作するプログラム (Setuidファイル) を実行できる状態にある
- 社内ネットワーク内で、認証なしにNFSマウントが可能な共有ディレクトリを公開している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. NFSエクスポート設定で 'no_root_squash' を避け、'root_squash' を有効にすること。 2. NFS共有ディレクトリに対して、setuid/setgidビットの実行を禁止する 'nosuid' マウントオプションを適用すること。 3. 信頼できるホストのみがNFS共有にアクセスできるよう、アクセス制御リスト(ACL)を厳格に管理すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】NFS設定不備による権限昇格リスクへの対応について
お疲れさまです。NFS(Network File System)の構成不備を突いた権限昇格手法に関する情報共有です。
■ 概要
NFSサーバー側で 'no_root_squash' が設定されている場合、クライアント側でroot権限を持つユーザーがサーバー上のファイルに対してroot権限で操作可能です。これにより、攻撃者がsetuidバイナリを配置し、一般ユーザーからroot権限へ昇格させる攻撃が成立します。
■ 影響範囲
- NFSサーバーを運用しているLinuxシステム
- 特に /etc/exports で no_root_squash を設定している共有ディレクトリ
■ 対応手順
1. /etc/exports 設定を確認し、不要な 'no_root_squash' 設定を 'root_squash' に変更する。
2. NFSマウント時に 'nosuid' オプションを付与し、共有ディレクトリ内でのsetuidバイナリ実行を禁止する。
3. ネットワークレベルでNFSアクセスを許可するIPアドレスを最小限に制限する。
■ 参考情報
- xakep: Атака на NFS. Разбираем эскалацию привилегий через NFS
対応優先度: 高
対応期限: 次回メンテナンス時まで
お疲れさまです。NFS(Network File System)の構成不備を突いた権限昇格手法に関する情報共有です。
■ 概要
NFSサーバー側で 'no_root_squash' が設定されている場合、クライアント側でroot権限を持つユーザーがサーバー上のファイルに対してroot権限で操作可能です。これにより、攻撃者がsetuidバイナリを配置し、一般ユーザーからroot権限へ昇格させる攻撃が成立します。
■ 影響範囲
- NFSサーバーを運用しているLinuxシステム
- 特に /etc/exports で no_root_squash を設定している共有ディレクトリ
■ 対応手順
1. /etc/exports 設定を確認し、不要な 'no_root_squash' 設定を 'root_squash' に変更する。
2. NFSマウント時に 'nosuid' オプションを付与し、共有ディレクトリ内でのsetuidバイナリ実行を禁止する。
3. ネットワークレベルでNFSアクセスを許可するIPアドレスを最小限に制限する。
■ 参考情報
- xakep: Атака на NFS. Разбираем эскалацию привилегий через NFS
対応優先度: 高
対応期限: 次回メンテナンス時まで
Subject: [Security Advisory] Privilege Escalation Risk via NFS Misconfiguration
Dear IT Administration Team,
We are sharing technical information regarding a privilege escalation vector involving Network File System (NFS) misconfigurations.
■ Overview
If the 'no_root_squash' option is enabled in the NFS export configuration, a user with root access on the client machine can manipulate files on the server with root privileges. This allows an attacker to upload a setuid binary to the share and subsequently escalate privileges to root on the server.
■ Scope
- Linux systems operating as NFS servers.
- Specifically, shares configured with 'no_root_squash' in /etc/exports.
■ Mitigation Steps
1. Review /etc/exports and replace 'no_root_squash' with 'root_squash' unless explicitly required.
2. Apply the 'nosuid' mount option when mounting NFS shares to prevent the execution of setuid binaries.
3. Restrict NFS access to a minimal set of trusted IP addresses via ACLs.
■ Reference
- xakep: Атака на NFS. Разбираем эскалацию привилегий через NFS
Priority: High
Deadline: Next maintenance window
Dear IT Administration Team,
We are sharing technical information regarding a privilege escalation vector involving Network File System (NFS) misconfigurations.
■ Overview
If the 'no_root_squash' option is enabled in the NFS export configuration, a user with root access on the client machine can manipulate files on the server with root privileges. This allows an attacker to upload a setuid binary to the share and subsequently escalate privileges to root on the server.
■ Scope
- Linux systems operating as NFS servers.
- Specifically, shares configured with 'no_root_squash' in /etc/exports.
■ Mitigation Steps
1. Review /etc/exports and replace 'no_root_squash' with 'root_squash' unless explicitly required.
2. Apply the 'nosuid' mount option when mounting NFS shares to prevent the execution of setuid binaries.
3. Restrict NFS access to a minimal set of trusted IP addresses via ACLs.
■ Reference
- xakep: Атака на NFS. Разбираем эскалацию привилегий через NFS
Priority: High
Deadline: Next maintenance window