Правителството на САЩ издаде предупреждение, че нападателите активно използват уязвимостта Dirty Pipe в Linux. Уязвимостта позволява на локален потребител да получи root привилегии. Правителствените агенции в САЩ са инструктирани да коригират уязвимостта в своите системи преди 16 май.
Уязвимостта се нарича Dirty Pipe поради несигурното взаимодействие между Linux файл, който се съхранява постоянно на твърдия диск, и Linux pipe, който е буфер за данни в паметта, който може да се използва като файл. Ако потребителят има канал, в който да пише, и файл, в който не може, записването в буфера на паметта на канала може по невнимание също да промени кешираните страници на различни части на файла на диска.
Това кара персонализираният кеш буфер да бъде записан обратно на диска от ядрото и съдържанието на запазения файл постоянно променя, независимо от разрешенията на файла. Локален потребител може да добави SSH ключ към root акаунта, да създаде root обвивка или да добави задача на cron, която работи като бекдор и добавя нов потребителски акаунт с root права, но също така е възможно редактиране на файлове извън пясъчна среда.
Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) на Министерството на вътрешната сигурност на САЩ поддържа списък с активно атакувани уязвимости и след това определя крайни срокове, когато федералните правителствени агенции трябва да инсталират актуализацията за засегнатия проблем. Списъкът, който дава представа за уязвимостите, които нападателите могат да използват, редовно се разширява с нови атакувани уязвимости.
С последната актуализация към списъка бяха добавени общо седем ново атакувани уязвимости. В допълнение към изтичането на Dirty Pipe в Linux, това се отнася и за четири уязвимости в Windows които позволяват на местния нападател да увеличи правата си. Microsoft пусна актуализация за една от тези уязвимости (CVE-2022-26904) преди две седмици. Според Microsoft уязвимостта все още не е била атакувана към момента на пускане на корекцията. Това оттогава се е променило, според CISA, което отново показва колко бързо нападателите се възползват от разкритите уязвимости.