Linux er blevet ofre for endnu en meget alvorlig privilegie-eskaleringssårbarhed på det seneste efterfølger til kontrolgruppernes smuthul, der gjorde det muligt for trusselsaktører at undslippe containere og henrette vilkårlig kode. Denne nye sårbarhed våbengør rørmekanismen i Linux og bruger den til at få skriveadgang med root-rettigheder.
Det vækker øjenbryn i hele Linux-fællesskabet og er blevet udpeget som en nomineret for at være en af de mest alvorlige trusler, der er opdaget i Linux siden 2016.
Hvad er Dirty Pipe i Linux?
Dirty Pipe-sårbarheden i Linux tillader ikke-privilegerede brugere at udføre ondsindet kode, der er i stand til en lang række ødelæggende handlinger, herunder installation af bagdøre i systemet, indsprøjtning af kode i scripts, ændring af binære filer brugt af forhøjede programmer og oprettelse af uautoriserede brugere profiler.
Denne fejl bliver sporet som CVE-2022-0847 og er blevet betegnet "Snavset rør" da den har en tæt lighed med Beskidt ko, en let udnyttelig Linux-sårbarhed fra 2016, som gav en dårlig skuespiller et identisk niveau af privilegier og beføjelser.
Hvordan virker Dirty Pipe?
Dirty Pipe, som navnet antyder, gør brug af pipeline-mekanismen i Linux med ondsindet hensigt. Piping er en ældgammel mekanisme i Linux, der tillader en proces at injicere data i en anden. Det giver lokale brugere mulighed for at få root-privilegier på ethvert system med offentligt tilgængelige og let udviklede exploits.
Det er en ensrettet og inter-proces kommunikationsmetode, hvor en proces tager input fra den forrige og producerer output til den næste i linjen.
Dirty Pipe udnytter denne mekanisme kombineret med splejsningsfunktionen til at overskrive følsomme skrivebeskyttede filer, f.eks. /etc/passwd, som kan manipuleres for at få et ikke-adgangskode rodskal.
Selvom processen kan lyde sofistikeret, er det, der gør Dirty Pipe utroligt farligt, at det er overflødigt nemt at replikere.
Trin til at replikere udnyttelsen
Her er de trin, du skal følge i henhold til originalen PoC af Max Kellerman:
1. Skab din pibe.
2. Indtast vilkårlige data i røret.
3. Tøm rørets data.
4. Brug splejsningsfunktionen til at splejse dataene fra målfilen ind i røret lige før målets offset.
5. Indtast vilkårlige data i røret, der vil overskrive den cachelagrede filside.
Der er et par begrænsninger for denne sårbarhed. Visse betingelser skal være opfyldt for en vellykket udnyttelse.
Begrænsninger af udnyttelsen
Begrænsningerne for udnyttelsen er:
1. Trusselsaktøren skal have læsetilladelser, da de uden dem ikke ville kunne bruge splejsningsfunktionen.
2. Forskydningen må ikke være på sidegrænsen.
3. Skriveprocessen kan ikke krydse en sidegrænse.
4. Filen kan ikke ændres størrelse.
Hvem er berørt af snavsede rørsårbarhed?
Angrebsoverfladen på Dirty Pipe strækker sig over alle Linux-kerneversioner fra 5.8 til 5.16.11. I lægmandssprog betyder det, at alle distros, fra Ubuntu til Arch og alt derimellem, er modtagelige for at blive kompromitteret af Dirty Pipe.
Berørte Linux-kerneversioner spænder fra 5.8 til 5.10.101.
Da denne sårbarhed sidder dybt i et grundlæggende stykke af Linux-kernen, kan det få konsekvenser over hele verden. Den lette udnyttelse kombineret med dens omfang gør Dirty Pipe til en stor trussel for alle Linux-vedligeholdere.
Forskere advarer både virksomheder og uafhængige brugere om at patche deres servere og systemer, så snart sikkerhedsopdateringerne er rullet ud.
Sådan løser du den beskidte rørsårbarhed, og er du sikker?
Hvis dit system er modtageligt for Dirty Pipe, er den bedste fremgangsmåde at tage at opdatere dine systemer med de seneste sikkerhedsopdateringer. Sårbarheden blev første gang rapporteret af Max Kellerman fra CM4all omkring den 20. februar 2022, og en patch, der mindsker truslen på kerneversioner 5.10.102, 5.15.25 og 5.16.11 blev udgivet af Linux-kernesikkerhedsteamet den 23. februar 2022.
Google har spillet sin rolle og lappet smuthullet i Android en dag senere den 24. februar 2022. Så hvis du har holdt dine Linux-maskiner opdaterede, bør du være bekymringsfri og sikker.
Hvad er fremtiden for Dirty Pipe?
Ifølge Linux-serverstatistikker er det det foretrukne operativsystem for webservere med over 1 million i øjeblikket installeret og online. Alle disse data burde være tilstrækkelige til at afklare omfanget af Dirty Pipe, og hvor ødelæggende det kunne være.
For at tilføje til det, ligesom Dirty Cow, er der ingen måde at afbøde det på andet end at opdatere din kerne. Så webservere og systemer, der kører modtagelige kerneversioner, er i en verden af problemer, hvis de bliver ramt af Dirty Pipe.
I betragtning af at der er en flåde af udnyttelser, der driver på internettet, anbefales det til alle systemvedligeholdere at holde sig på tæerne hele tiden og være på vagt over for hvem der har lokal adgang, indtil deres systemer er det lappet.
Selv din Linux-maskine er udsat for vira og malware. Medmindre du ved, hvor du skal downloade din software fra.
Læs Næste
- Linux
- Linux
Abonner på vores nyhedsbrev
Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!
Klik her for at abonnere