Negli ultimi tempi Linux è caduto preda di un'altra grave vulnerabilità legata all'escalation dei privilegi successione alla scappatoia dei gruppi di controllo che consentiva agli attori delle minacce di fuggire dai container ed eseguire codice arbitrario. Questa nuova vulnerabilità arma il meccanismo di piping in Linux e lo usa per ottenere l'accesso in scrittura con privilegi di root.
Sta sollevando le sopracciglia in tutta la comunità Linux ed è stato nominato come candidato per essere una delle minacce più gravi scoperte in Linux dal 2016.
Cos'è Dirty Pipe in Linux?
La vulnerabilità di Dirty Pipe in Linux consente agli utenti non privilegiati di eseguire codice dannoso in grado di eseguire una serie di azioni distruttive, tra cui l'installazione di backdoor nel sistema, l'inserimento di codice negli script, la modifica dei file binari utilizzati dai programmi con privilegi elevati e la creazione di utenti non autorizzati profili.
Questo bug viene monitorato come CVE-2022-0847 ed è stato chiamato
"Pipa sporca" dal momento che ha una stretta somiglianza con Mucca sporca, una vulnerabilità Linux facilmente sfruttabile del 2016 che garantiva a un cattivo attore un livello identico di privilegi e poteri.Come funziona il tubo sporco?
Dirty Pipe, come suggerisce il nome, utilizza il meccanismo della pipeline di Linux con intenti dannosi. Il piping è un meccanismo secolare in Linux che consente a un processo di iniettare dati in un altro. Consente agli utenti locali di ottenere i privilegi di root su qualsiasi sistema con exploit disponibili pubblicamente e facilmente sviluppati.
È un metodo di comunicazione unidirezionale e interprocesso in cui un processo riceve input dal precedente e produce output per il successivo nella linea.
Dirty Pipe sfrutta questo meccanismo combinato con la funzione di giunzione per sovrascrivere file sensibili di sola lettura, ad esempio /etc/passwd, che possono essere manipolati per ottenere una password senza password guscio di radice.
Sebbene il processo possa sembrare sofisticato, ciò che rende Dirty Pipe incredibilmente pericoloso è che è estremamente facile da replicare.
Passaggi per replicare l'exploit
Ecco i passaggi da seguire come da originale PoC di Max Kellerman:
1. Crea la tua pipa.
2. Immettere dati arbitrari nella pipe.
3. Svuotare i dati del tubo.
4. Usando la funzione di giunzione, unisci i dati dal file di destinazione nella pipe appena prima dell'offset della destinazione.
5.Inserire dati arbitrari nella pipe che sovrascriverà la pagina del file memorizzato nella cache.
Ci sono alcune limitazioni a questa vulnerabilità. Alcune condizioni devono essere soddisfatte per uno sfruttamento di successo.
Limiti dell'exploit
I limiti dell'exploit sono:
1. L'attore della minaccia deve avere i permessi di lettura in quanto, senza di essi, non sarebbe in grado di utilizzare la funzione di giunzione.
2. L'offset non deve trovarsi sul limite della pagina.
3. Il processo di scrittura non può superare un limite di pagina.
4. Il file non può essere ridimensionato.
Chi è interessato dalla vulnerabilità dei tubi sporchi?
La superficie di attacco di Dirty Pipe si estende a tutte le versioni del kernel Linux dalla 5.8 alla 5.16.11. In parole povere, significa che tutte le distribuzioni, da Ubuntu ad Arch e tutto il resto, sono suscettibili di essere compromesse da Dirty Pipe.
Le versioni del kernel Linux interessate vanno da 5.8 a 5.10.101.
Poiché questa vulnerabilità risiede in una parte fondamentale del kernel Linux, può avere ripercussioni in tutto il mondo. La facilità di sfruttamento unita alla sua portata rende Dirty Pipe una grave minaccia per tutti i manutentori di Linux.
I ricercatori stanno avvisando sia le aziende che gli utenti indipendenti di applicare patch ai propri server e sistemi non appena verranno implementati gli aggiornamenti di sicurezza.
Come risolvere la vulnerabilità del tubo sporco e sei al sicuro?
Se il tuo sistema è suscettibile a Dirty Pipe, la migliore linea d'azione da intraprendere è aggiornare i tuoi sistemi con gli ultimi aggiornamenti di sicurezza. La vulnerabilità è stata segnalata per la prima volta da Max Kellerman di CM4 tutto intorno al 20 febbraio 2022 e una patch che mitiga la minaccia sulle versioni del kernel 5.10.102, 5.15.25 e 5.16.11 è stato rilasciato dal team di sicurezza del kernel Linux il 23 febbraio 2022.
Google ha fatto la sua parte e ha corretto la scappatoia in Android il giorno dopo, il 24 febbraio 2022. Quindi, se hai mantenuto aggiornate le tue macchine Linux, dovresti essere sicuro e senza preoccupazioni.
Qual è il futuro del tubo sporco?
Secondo le statistiche dei server Linux, è il sistema operativo preferito dai server Web con oltre 1 milione attualmente distribuito e online. Tutti questi dati dovrebbero essere sufficienti per chiarire la portata di Dirty Pipe e quanto potrebbe essere devastante.
Per aggiungerlo, proprio come Dirty Cow, non c'è modo per mitigarlo se non aggiornare il kernel. Quindi, i server Web e i sistemi che eseguono versioni del kernel suscettibili si trovano in un mondo di guai se vengono colpiti da Dirty Pipe.
Dato che c'è una flotta di exploit alla deriva su Internet, è consigliato a tutti i manutentori di sistema stare sempre all'erta e diffidare di chiunque abbia accesso locale fino a quando i loro sistemi non lo saranno rattoppato.
Anche la tua macchina Linux è soggetta a virus e malware. A meno che tu non sappia da dove dovresti scaricare il tuo software.
Leggi Avanti
- Linux
- Linux
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti
