Uma nova vulnerabilidade perigosa do Linux está à espreita em distribuições não corrigidas. Chamado Dirty Pipe e rastreado como CVE-2022-0847, a vulnerabilidade está localizada no kernel (desde a versão 5.8), criando a possibilidade de os agentes de ameaças substituirem dados arbitrários em qualquer arquivo de leitura on-line.
Isso poderia permitir uma aquisição completa de sistemas expostos. O pesquisador Max Kellermann diz que o Dirty Pipe é semelhante ao a falha da vaca suja, divulgado em 2016, mas mais fácil de explorar. CVE-2016-5195, também conhecido como Dirty Cow e Kernel Local Privilege Escalation, foi encontrado em todas as distribuições Linux lançadas nos últimos nove anos, até 2016.
Como estava o tubo sujo (CVE-2022-0847) descoberto?
Veja como Max Kellermann conta a história:
Tudo começou há um ano com um ticket de suporte sobre arquivos corrompidos. Um cliente reclamou que os logs de acesso baixados não podiam ser descompactados. E realmente, havia um arquivo de log corrompido em um dos servidores de log; pode ser descompactado, mas o gzip relatou um erro de CRC. Eu não poderia explicar por que estava corrompido, mas presumi que o processo de divisão noturna havia travado e deixado um arquivo corrompido para trás. Corrigi o CRC do arquivo manualmente, fechou o bilhete, e logo esqueci o problema.
A situação continuou a acontecer de novo e de novo. Toda vez que aconteceu, o conteúdo do arquivo parece correto, com apenas o CRC no final do arquivo errado. Ter vários arquivos corrompidos em mãos permitiu ao pesquisador analisar mais profundamente, descobrindo assim um padrão surpreendente de corrupção.
afinal, descobriu uma falha “na forma como as 'bandeiras’ membro da nova estrutura de buffer de pipe estava sem inicialização adequada nas funções copy_page_to_iter_pipe e push_pipe no kernel do Linux e, portanto, poderia conter valores obsoletos,” conforme resumido pelos pesquisadores da Red Hat em um comunicado separado.
Como um resultado, um usuário local sem privilégios pode explorar a falha para gravar em páginas no cache de página apoiadas por arquivos somente leitura, criando uma condição de escalonamento de privilégios. O nome, Tubulação suja, deriva do pipeline, que em sistemas operacionais de computador do tipo Unix é um mecanismo para comunicação entre processos via passagem de mensagens. Nesse sentido, um pipeline é um conjunto de processos encadeados por seus fluxos padrão, para que o texto de saída de cada processo (padrão) é passado diretamente como entrada (padrão) para o próximo, de acordo com a Wikipedia. https://pt.wikipedia.org/wiki/Pipeline_(Unix)
Como a vulnerabilidade do tubo sujo pode ser explorada?
Kellermann diz que explorar a falha CVE-2022-0847 requer as seguintes etapas:
1.Criar um tubo.
2.Encha o tubo com dados arbitrários (para definir o sinalizador PIPE_BUF_FLAG_CAN_MERGE em todas as entradas do anel).
3.Drenar o tubo (deixando o sinalizador definido em todas as instâncias do struct pipe_buffer no struct pipe_inode_informing).
4.Emendar dados do arquivo de destino (aberto com O_RDONLY) no tubo logo antes do deslocamento de destino.
5.Gravar dados arbitrários no pipe; esses dados irão sobrescrever a página do arquivo em cache em vez de criar uma nova estrutura anômala pipe_buffer porque PIPE_BUF_FLAG_CAN_MERGE está definido.
Esta exploração também funciona com arquivos imutáveis em instantâneos btrfs somente leitura e em montagens somente leitura (incluindo montagens de CD-ROM). “Isso ocorre porque o cache da página é sempre gravável (pelo núcleo), e gravar em um pipe nunca verifica nenhuma permissão,” Kellermann acrescentou.
O pesquisador também criado e compartilhado seu código de prova de conceito.
A vulnerabilidade já foi corrigida nas versões Linux 5.16.11, 5.15.25, e 5.10.102. O Google também liberado correções para o kernel do Android em fevereiro 24, 2022.
Vale ressaltar que ontem, marcha 7, nós escrevemos sobre outro problema grave do kernel Linux, que poderia ter sido abusado para escapar de um contêiner para executar comandos arbitrários no host. A vulnerabilidade é rastreada como CVE-2022-0492, e foi detalhado pela Unidade de Palo Alto 42 Pesquisadores de redes.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: