Una nueva vulnerabilidad peligrosa de Linux acecha en las distribuciones sin parches. Llamado Dirty Pipe y rastreado como CVE-2022-0847, la vulnerabilidad se encuentra en el kernel (desde la versión 5.8), creando la posibilidad de que los actores de amenazas sobrescriban datos arbitrarios en cualquier archivo de lectura en línea.
Esto podría permitir una adquisición completa de los sistemas expuestos.. El investigador Max Kellermann dice que Dirty Pipe es similar a el defecto de la vaca sucia, revelado en 2016, pero más fácil de explotar. CVE-2016-5195, también conocido como Dirty Cow y Kernel Local Privilege Escalation, se encontró en todas las distribuciones de Linux lanzadas en los últimos nueve años, hasta 2016.
¿Cómo estaba la tubería sucia? (CVE-2022-0847) Descubierto?
Así es como Max Kellermann cuenta la historia:
Todo comenzó hace un año con un ticket de soporte sobre archivos corruptos. Un cliente se quejó de que los registros de acceso que descargó no se podían descomprimir. Y de hecho, había un archivo de registro corrupto en uno de los servidores de registro; se puede descomprimir, pero gzip reportó un error CRC. No pude explicar por qué estaba corrupto., pero asumí que el proceso de división nocturna se había bloqueado y había dejado un archivo corrupto. Arreglé el CRC del archivo manualmente, cerro el boleto, y pronto se olvidó del problema.
La situación siguió ocurriendo una y otra vez.. Cada vez que sucedió, el contenido del archivo parece correcto, con solo el CRC al final del archivo incorrecto. Tener varios archivos corruptos a mano permitió al investigador analizar más profundamente, descubriendo así un sorprendente patrón de corrupción.
Finalmente, descubrió una falla “en la forma en que las 'banderas’ El miembro de la nueva estructura de búfer de tubería carecía de la inicialización adecuada en las funciones copy_page_to_iter_pipe y push_pipe en el kernel de Linux y, por lo tanto, podría contener valores obsoletos.,” tal como lo resumen los investigadores de Red Hat en un aviso separado.
Como resultado, un usuario local sin privilegios podría explotar la falla para escribir en páginas en el caché de la página respaldado por archivos de solo lectura, crear una condición de escalada de privilegios. El nombre, tubería sucia, se deriva de la tubería, que en los sistemas operativos de computadora tipo Unix es un mecanismo para la comunicación entre procesos a través del paso de mensajes. En ese sentido, una canalización es un conjunto de procesos encadenados entre sí por sus flujos estándar, para que el texto de salida de cada proceso (salida estándar) se pasa directamente como entrada (Entrada estándar) al siguiente, según Wikipedia. https://en.wikipedia.org/wiki/Pipeline_(Unix)
¿Cómo se puede explotar la vulnerabilidad de la tubería sucia??
Kellermann dice que explotar la falla CVE-2022-0847 requiere los siguientes pasos:
1.Crear una tubería.
2.Llene la tubería con datos arbitrarios (para configurar el indicador PIPE_BUF_FLAG_CAN_MERGE en todas las entradas del anillo).
3.Drenar la tubería (dejando el indicador establecido en todas las instancias de struct pipe_buffer en struct pipe_inode_inforing).
4.Empalme de datos del archivo de destino (abierto con O_RDONLY) en la tubería desde justo antes del desplazamiento objetivo.
5.Escribir datos arbitrarios en la tubería; estos datos sobrescribirán la página del archivo en caché en lugar de crear una nueva estructura anónima pipe_buffer porque PIPE_BUF_FLAG_CAN_MERGE está configurado.
Esta explotación también funciona con archivos inmutables en instantáneas btrfs de solo lectura y en montajes de solo lectura. (incluyendo soportes de CD-ROM). “Eso se debe a que la memoria caché de la página siempre se puede escribir (por el núcleo), y escribir en una canalización nunca verifica ningún permiso,Kellermann añadió.
El investigador también creado y compartido su código de prueba de concepto.
La vulnerabilidad ya ha sido parcheada en versiones de Linux 5.16.11, 5.15.25, y 5.10.102. Google también ha liberado correcciones para el kernel de Android en febrero 24, 2022.
Cabe destacar que ayer, Marzo 7, escribimos sobre otro problema grave del kernel de Linux, que podría haber sido abusado para escapar de un contenedor con el fin de ejecutar comandos arbitrarios en el host. La vulnerabilidad se rastrea como CVE-2022-0492, y fue detallado por Palo Alto Unit 42 Investigadores de redes.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: