O Linux foi vítima de mais uma vulnerabilidade de escalonamento de privilégios altamente grave nos últimos sucessão da brecha dos Grupos de Controle que permitia que os agentes de ameaças escapassem de contêineres e executassem código arbitrário. Essa nova vulnerabilidade arma o mecanismo de tubulação no Linux e o usa para obter acesso de gravação com privilégios de root.
Ele está levantando as sobrancelhas em toda a comunidade Linux e foi nomeado como indicado por ser uma das ameaças mais sérias descobertas no Linux desde 2016.
O que é Dirty Pipe no Linux?
A vulnerabilidade do Dirty Pipe no Linux permite que usuários sem privilégios executem códigos maliciosos capazes de uma série de ações destrutivas, incluindo instalar backdoors no sistema, injetar código em scripts, alterar binários usados por programas elevados e criar usuários não autorizados perfis.
Este bug está sendo rastreado como CVE-2022-0847 e foi denominado "Tubo Sujo" pois tem uma grande semelhança com Vaca suja, uma vulnerabilidade Linux facilmente explorável de 2016 que concedeu a um agente mal-intencionado um nível idêntico de privilégios e poderes.
Como funciona o tubo sujo?
O Dirty Pipe, como o nome sugere, faz uso do mecanismo de pipeline do Linux com intenção maliciosa. A tubulação é um mecanismo antigo no Linux que permite que um processo injete dados em outro. Ele permite que usuários locais obtenham privilégios de root em qualquer sistema com exploits disponíveis publicamente e facilmente desenvolvidos.
É um método de comunicação unidirecional e entre processos no qual um processo recebe entrada do anterior e produz saída para o próximo na linha.
Dirty Pipe aproveita este mecanismo combinado com a função de emenda para sobrescrever arquivos sensíveis somente leitura, por exemplo, /etc/passwd, que podem ser manipulados para obter uma não-senha casca de raiz.
Embora o processo possa parecer sofisticado, o que torna o Dirty Pipe incrivelmente perigoso é que ele é redundantemente fácil de replicar.
Etapas para replicar a exploração
Aqui estão os passos a seguir de acordo com o original PoC por Max Kellerman:
1. Crie seu tubo.
2. Insira dados arbitrários no pipe.
3. Drene os dados do tubo.
4. Usando a função splice, junte os dados do arquivo de destino no pipe logo antes do deslocamento do destino.
5. Insira dados arbitrários no pipe que substituirão a página do arquivo em cache.
Existem algumas limitações para esta vulnerabilidade. Certas condições devem ser atendidas para uma exploração bem-sucedida.
Limitações da Exploração
As limitações do exploit são:
1. O agente da ameaça deve ter permissões de leitura, pois, sem ela, não seria capaz de usar a função de emenda.
2. O deslocamento não deve estar no limite da página.
3. O processo de gravação não pode cruzar um limite de página.
4. O arquivo não pode ser redimensionado.
Quem é afetado pela vulnerabilidade de tubulação suja?
A superfície de ataque do Dirty Pipe se estende por todas as versões do kernel Linux de 5.8 a 5.16.11. Em termos leigos, isso significa que todas as distribuições, do Ubuntu ao Arch e tudo mais, são suscetíveis a serem comprometidas pelo Dirty Pipe.
As versões do kernel Linux afetadas variam de 5.8 para 5.10.101.
Como essa vulnerabilidade está em uma parte fundamental do kernel do Linux, ela pode ter repercussões em todo o mundo. A facilidade de exploração juntamente com seu escopo faz do Dirty Pipe uma grande ameaça para todos os mantenedores do Linux.
Os pesquisadores estão alertando empresas e usuários independentes para corrigir seus servidores e sistemas assim que as atualizações de segurança forem lançadas.
Como corrigir a vulnerabilidade do tubo sujo e você está seguro?
Se o seu sistema for suscetível ao Dirty Pipe, a melhor ação a ser tomada é atualizar seus sistemas com as atualizações de segurança mais recentes. A vulnerabilidade foi relatada pela primeira vez por Max Kellerman do CM4all por volta de 20 de fevereiro de 2022, e um patch mitiga a ameaça nas versões do kernel 5.10.102, 5.15.25 e 5.16.11 foi lançado pela equipe de segurança do kernel Linux em 23 de fevereiro de 2022.
O Google fez sua parte e corrigiu a brecha no Android um dia depois, em 24 de fevereiro de 2022. Então, se você manteve suas máquinas Linux atualizadas, você deve estar livre de preocupações e seguro.
Qual é o futuro do tubo sujo?
De acordo com as estatísticas do servidor Linux, é o sistema operacional de escolha para servidores web com mais de 1 milhão atualmente implantados e online. Todos esses dados devem ser suficientes para esclarecer o escopo do Dirty Pipe e o quão devastador ele pode ser.
Para adicionar a isso, assim como o Dirty Cow, não há como mitigá-lo além de atualizar seu kernel. Portanto, servidores e sistemas da Web que executam versões de kernel suscetíveis terão um mundo de problemas se forem atingidos pelo Dirty Pipe.
Dado que existe uma frota de exploits à deriva na internet, é aconselhável a todos os mantenedores do sistema ficar alerta o tempo todo e ser cauteloso com quem tem acesso local até que seus sistemas sejam remendado.
Até mesmo sua máquina Linux é propensa a vírus e malware. A menos que você saiba de onde deve baixar o software.
Leia a seguir
- Linux
- Linux
Assine a nossa newsletter
Junte-se à nossa newsletter para dicas de tecnologia, análises, e-books gratuitos e ofertas exclusivas!
Clique aqui para assinar
