A Linux a közelmúltban egy újabb rendkívül súlyos jogosultság-kiterjesztési sebezhetőség áldozatává vált a Vezérlőcsoportok kiskapu utódlása, amely lehetővé tette a fenyegetés szereplői számára, hogy kiszabaduljanak a konténerekből és végrehajtsák a végrehajtást tetszőleges kód. Ez az új biztonsági rés felfegyverzi a csőrendszert a Linuxban, és arra használja, hogy root jogosultságokkal írási hozzáférést szerezzen.
Az egész Linux-közösségben felhúzza a szemöldökét, és 2016 óta a Linuxban felfedezett egyik legsúlyosabb fenyegetésként jelölték meg.
Mi az a Dirty Pipe Linuxban?
A Linux Dirty Pipe sebezhetősége lehetővé teszi a nem privilegizált felhasználók számára, hogy olyan rosszindulatú kódot hajtsanak végre, amely számos pusztító műveletre képes, pl. hátsó ajtók telepítése a rendszerbe, kód beszúrása a szkriptekbe, az emelt szintű programok által használt binárisok módosítása és jogosulatlan felhasználók létrehozása profilok.
Ezt a hibát a következő néven követi nyomon CVE-2022-0847 és elnevezték
"Piszkos cső" mivel nagyon hasonlít arra Piszkos tehén, egy könnyen kihasználható Linux sebezhetőség 2016-ból, amely egy rossz szereplőnek azonos szintű jogosultságokat és hatásköröket biztosított.Hogyan működik a Dirty Pipe?
A Dirty Pipe, ahogy a neve is sugallja, rosszindulatú szándékkal használja a Linux folyamatfolyamat-mechanizmusát. A csővezeték egy ősrégi mechanizmus a Linuxban, amely lehetővé teszi az egyik folyamat számára, hogy adatokat injektáljon a másikba. Lehetővé teszi a helyi felhasználók számára, hogy root jogosultságokat szerezzenek bármely rendszeren nyilvánosan elérhető és könnyen fejleszthető exploitokkal.
Ez egy egyirányú és folyamatok közötti kommunikációs módszer, amelyben az egyik folyamat bemenetet vesz az előzőtől, és kimenetet állít elő a sor következő számára.
A Dirty Pipe kihasználja ezt a mechanizmust a splice funkcióval kombinálva a felülíráshoz érzékeny, csak olvasható fájlok, például /etc/passwd, amelyek manipulálásával jelszót nem lehet kapni gyökérhéj.
Bár a folyamat kifinomultnak tűnhet, a Dirty Pipe-ot az teszi hihetetlenül veszélyessé, hogy redundánsan könnyen reprodukálható.
Az Exploit replikálásának lépései
Itt vannak a követendő lépések az eredetinek megfelelően Max Kellerman PoC:
1. Készítse el a pipáját.
2. Írjon be tetszőleges adatokat a csőbe.
3. Engedje le a cső adatait.
4. A splice függvény segítségével a célfájl adatait a csőbe illesztése közvetlenül a cél eltolása előtt.
5. Írjon be tetszőleges adatokat a csőbe, amely felülírja a gyorsítótárazott fájl oldalát.
Ennek a sebezhetőségnek van néhány korlátozása. A sikeres hasznosításhoz bizonyos feltételeknek teljesülniük kell.
Az Exploit korlátozásai
A kihasználás korlátai a következők:
1. A fenyegetés szereplőjének olvasási jogosultsággal kell rendelkeznie, mivel e nélkül nem tudná használni a splice funkciót.
2. Az eltolás nem lehet az oldalhatáron.
3. Az írási folyamat nem lépheti át az oldalhatárokat.
4. A fájl nem méretezhető át.
Kit érint a piszkos cső sérülékenysége?
A Dirty Pipe támadási felülete az összes Linux kernelverzióra kiterjed 5.8-tól 5.16.11-ig. Laikus szóval ez azt jelenti, hogy az Ubuntutól az Archig és minden, ami a kettő között van, az összes disztribúciót veszélyeztetheti a Dirty Pipe.
Az érintett Linux kernelverziók tól 5.8 nak nek 5.10.101.
Mivel ez a sérülékenység a Linux kernel egyik alapelemében rejlik, az egész világon kihatással lehet rá. A Dirty Pipe könnyű kihasználhatósága és hatóköre komoly fenyegetést jelent minden Linux-karbantartó számára.
A kutatók arra figyelmeztetik a vállalkozásokat és a független felhasználókat, hogy a biztonsági frissítések bevezetése után azonnal javítsák meg szervereiket és rendszereiket.
Hogyan lehet kijavítani a piszkos cső sérülékenységét, és biztonságban van?
Ha rendszere érzékeny a Dirty Pipe-ra, a legjobb megoldás az, ha frissíti a rendszert a legújabb biztonsági frissítésekkel. A sérülékenységet először Max Kellerman, a CM4 munkatársa jelentette 2022. február 20-án, és egy javítást, amely csökkenti a fenyegetést a kernelverziókon. 5.10.102, 5.15.25 és 5.16.11 a Linux kernel biztonsági csapata adta ki 2022. február 23-án.
A Google kivette a részét, és egy nappal később, 2022. február 24-én befoltozta a kiskaput az Androidon. Tehát, ha naprakészen tartotta Linux gépeit, gondtalannak és biztonságban kell lennie.
Mi a Dirty Pipe jövője?
A Linux szerverstatisztikák szerint ez a választott operációs rendszer olyan webszerverek számára, amelyek jelenleg több mint 1 millióan vannak telepítve és online. Mindezeknek az adatoknak elegendőnek kell lenniük ahhoz, hogy tisztázzák a Dirty Pipe alkalmazási körét és annak pusztító hatását.
Hozzá kell tenni, hasonlóan a Dirty Cow-hoz, a kernel frissítésén kívül nem lehet enyhíteni. Tehát a webszerverek és az érzékeny kernelverziókat futtató rendszerek bajok világába kerülnek, ha eltalálják a Dirty Pipe-ot.
Tekintettel arra, hogy az interneten exploitok száma sodródik, minden rendszerkarbantartónak ajánlott hogy mindig lábujjhegyen maradjanak, és vigyázzanak mindenkire, aki helyi hozzáféréssel rendelkezik, amíg a rendszere meg nem áll foltozva.
Még a Linux gépe is ki van téve a vírusoknak és a rosszindulatú programoknak. Hacsak nem tudja, honnan kell letöltenie a szoftvert.
Olvassa el a következőt
- Linux
- Linux
Iratkozzon fel hírlevelünkre
Csatlakozzon hírlevelünkhöz műszaki tippekért, ismertetőkért, ingyenes e-könyvekért és exkluzív ajánlatokért!
Kattintson ide az előfizetéshez
