Linux is de afgelopen tijd ten prooi gevallen aan nog een zeer ernstige kwetsbaarheid voor escalatie van bevoegdheden opvolging van de maas in de controlegroep waardoor dreigingsactoren konden ontsnappen aan containers en uitvoeren willekeurige code. Deze nieuwe kwetsbaarheid bewapent het piping-mechanisme in Linux en gebruikt het om schrijftoegang te krijgen met root-privileges.
Het roept wenkbrauwen op bij de Linux-gemeenschap en is genomineerd als een van de ernstigste bedreigingen die sinds 2016 in Linux zijn ontdekt.
Wat is Dirty Pipe in Linux?
De Dirty Pipe-kwetsbaarheid in Linux stelt niet-bevoorrechte gebruikers in staat om kwaadaardige code uit te voeren die in staat is tot een groot aantal destructieve acties, waaronder: het installeren van achterdeuren in het systeem, het injecteren van code in scripts, het wijzigen van binaire bestanden die worden gebruikt door verhoogde programma's en het creëren van een ongeautoriseerde gebruiker profielen.
Deze bug wordt gevolgd als CVE-2022-0847
en is genoemd "Vuile pijp" omdat het sterk lijkt op vuile koe, een gemakkelijk te misbruiken Linux-kwetsbaarheid uit 2016 die een slechte actor een identiek niveau van privileges en bevoegdheden verleende.Hoe werkt een vuile pijp?
Dirty Pipe maakt, zoals de naam al doet vermoeden, gebruik van het pijplijnmechanisme van Linux met kwade bedoelingen. Piping is een eeuwenoud mechanisme in Linux waarmee het ene proces gegevens in het andere kan injecteren. Het stelt lokale gebruikers in staat rootrechten te verkrijgen op elk systeem met openbaar beschikbare en gemakkelijk te ontwikkelen exploits.
Het is een unidirectionele en interprocescommunicatiemethode waarbij het ene proces input van het vorige neemt en output produceert voor het volgende in de lijn.
Dirty Pipe maakt gebruik van dit mechanisme in combinatie met de splice-functie om te overschrijven gevoelige alleen-lezen bestanden, bijvoorbeeld /etc/passwd, die kan worden gemanipuleerd om een wachtwoord zonder wachtwoord te verkrijgen wortel schil.
Hoewel het proces misschien geavanceerd klinkt, is wat Dirty Pipe ongelooflijk gevaarlijk maakt, dat het eenvoudig te repliceren is.
Stappen om de exploit te repliceren
Hier zijn de te volgen stappen volgens het origineel: PoC door Max Kellerman:
1. Maak je pijp.
2. Voer willekeurige gegevens in de pijp in.
3. Tap de gegevens van de leiding af.
4. Gebruik de splice-functie om de gegevens van het doelbestand te splitsen in de pijp net voor de offset van het doel.
5.Voer willekeurige gegevens in de pijp in die de in de cache opgeslagen bestandspagina zal overschrijven.
Er zijn een paar beperkingen aan dit beveiligingslek. Voor een succesvolle exploitatie moet aan een aantal voorwaarden worden voldaan.
Beperkingen van de Exploit
De beperkingen van de exploit zijn:
1. De dreigingsactor moet leesrechten hebben, want zonder deze zouden ze de splice-functie niet kunnen gebruiken.
2. De offset mag niet op de paginagrens liggen.
3. Het schrijfproces kan een paginagrens niet overschrijden.
4. Het formaat van het bestand kan niet worden gewijzigd.
Wie wordt getroffen door het beveiligingslek met betrekking tot vuile leidingen?
Het aanvalsoppervlak van Dirty Pipe strekt zich uit over alle Linux-kernelversies van 5.8 tot 5.16.11. In termen van leken betekent dit dat alle distributies, van Ubuntu tot Arch en alles daartussenin, vatbaar zijn voor compromittering door Dirty Pipe.
De getroffen Linux-kernelversies variëren van 5.8 naar 5.10.101.
Aangezien dit beveiligingslek diep in een fundamenteel onderdeel van de Linux-kernel zit, kan het gevolgen hebben over de hele wereld. Het gemak van exploitatie in combinatie met de omvang ervan maakt Dirty Pipe een grote bedreiging voor alle Linux-beheerders.
Onderzoekers waarschuwen zowel bedrijven als onafhankelijke gebruikers om hun servers en systemen te patchen zodra de beveiligingsupdates zijn uitgerold.
Hoe de Dirty Pipe-kwetsbaarheid te verhelpen en bent u veilig?
Als uw systeem vatbaar is voor Dirty Pipe, kunt u het beste uw systemen bijwerken met de nieuwste beveiligingsupdates. De kwetsbaarheid werd voor het eerst gemeld door Max Kellerman van CM4all rond 20 februari 2022, en een patch die de dreiging op kernelversies verzachtte 5.10.102, 5.15.25 en 5.16.11 werd uitgebracht door het Linux-kernelbeveiligingsteam op 23 februari 2022.
Google heeft zijn rol gespeeld en de maas in Android een dag later, op 24 februari 2022, gedicht. Dus als je je Linux-machines up-to-date hebt gehouden, zou je zorgeloos en veilig moeten zijn.
Wat is de toekomst van Dirty Pipe?
Volgens Linux-serverstatistieken is dit het besturingssysteem bij uitstek voor webservers met meer dan 1 miljoen momenteel geïmplementeerd en online. Al deze gegevens zouden voldoende moeten zijn om de reikwijdte van Dirty Pipe te verduidelijken en hoe verwoestend het zou kunnen zijn.
Om eraan toe te voegen, net als Dirty Cow, is er geen andere manier om het te verminderen dan je kernel bij te werken. Dus webservers en systemen met vatbare kernelversies staan voor een wereld van problemen als ze worden geraakt door Dirty Pipe.
Gezien het feit dat er een vloot van exploits op het internet ronddrijft, wordt het aangeraden aan alle systeembeheerders om te allen tijde scherp te blijven en op hun hoede te zijn voor iedereen die lokale toegang heeft totdat hun systemen zijn gepatcht.
Zelfs uw Linux-machine is gevoelig voor virussen en malware. Tenzij u weet waar u uw software moet downloaden.
Lees volgende
- Linux
- Linux
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren
