El govern dels EUA ha emès una advertència que els atacants estan explotant activament la vulnerabilitat Dirty Pipe a Linux. La vulnerabilitat permet a un usuari local obtenir privilegis root. Les agències governamentals dels EUA han rebut instruccions per solucionar la vulnerabilitat dels seus sistemes abans del 16 de maig.
La vulnerabilitat s'anomena Dirty Pipe a causa de la interacció insegura entre un fitxer Linux, que s'emmagatzema permanentment al disc dur, i una canonada Linux, que és un buffer de dades a la memòria que es pot utilitzar com un fitxer. Si un usuari té una canalització per escriure i un fitxer no pot, escriure a la memòria intermèdia de la canalització també pot modificar inadvertidament les pàgines emmagatzemades a la memòria cau de diferents parts del fitxer de disc.
Això fa que el nucli torni a escriure la memòria cau personalitzada al disc i el contingut del fitxer desat es modifiqui permanentment, independentment dels permisos del fitxer. Un usuari local pot afegir una clau SSH al compte root, crear un intèrpret d'ordres arrel o afegir un treball cron que s'executi com a porta posterior i afegeix un nou compte d'usuari amb drets d'arrel, però també és possible editar fitxers fora d'un sandbox.
L'Agència de Ciberseguretat i Seguretat de la Infraestructura (CISA) del Departament de Seguretat Nacional dels EUA manté una llista de vulnerabilitats atacades activament i, a continuació, estableix terminis quan les agències del govern federal haurien d'instal·lar l'actualització per al problema afectat. La llista, que proporciona informació sobre les vulnerabilitats que els atacants poden explotar, s'amplia regularment amb les vulnerabilitats recentment atacades.
Amb l'última actualització, s'han afegit a la llista un total de set vulnerabilitats atacades recentment. A més de la filtració de Dirty Pipe a Linux, també es refereix a quatre vulnerabilitats Windows que permeten a un atacant local augmentar els seus drets. Microsoft va publicar una actualització per a una d'aquestes vulnerabilitats (CVE-2022-26904) fa dues setmanes. Segons Microsoft, la vulnerabilitat encara no va ser atacada en el moment en què es va publicar el pegat. Des de llavors, això ha canviat, segons el CISA, que torna a indicar amb quina rapidesa els atacants s'aprofiten de les vulnerabilitats revelades.