USA warnen vor aktivem Missbrauch des Dirty-Pipe-Lecks in Linux

Die US-Regierung hat gewarnt, dass Angreifer aktiv die Dirty Pipe-Schwachstelle in Linux ausnutzen. Die Schwachstelle ermöglicht es einem lokalen Benutzer, Root-Rechte zu erlangen. Regierungsbehörden in den USA wurden angewiesen, die Schwachstelle in ihren Systemen vor dem 16. Mai zu beheben.

Die Schwachstelle wird wegen der unsicheren Interaktion zwischen einer Linux-Datei, die dauerhaft auf der Festplatte gespeichert ist, und einer Linux-Pipe, einem In-Memory-Datenpuffer, der wie eine Datei verwendet werden kann, Dirty Pipe genannt. Wenn ein Benutzer eine Pipe hat, in die er schreiben kann, aber eine Datei, die er nicht schreiben kann, kann das Schreiben in den Speicherpuffer der Pipe versehentlich auch die zwischengespeicherten Seiten verschiedener Teile der Plattendatei ändern.

Dadurch wird der benutzerdefinierte Cache-Puffer vom Kernel auf die Festplatte zurückgeschrieben und der Inhalt der gespeicherten Datei dauerhaft geändert, unabhängig von den Berechtigungen der Datei. Ein lokaler Benutzer kann dem Root-Konto einen SSH-Schlüssel hinzufügen, eine Root-Shell erstellen oder einen Cron-Job hinzufügen, der als Backdoor läuft und ein neues Benutzerkonto mit Root-Rechten hinzufügt, aber auch das Bearbeiten von Dateien außerhalb einer Sandbox ist möglich.

Die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums führt eine Liste aktiv angegriffener Schwachstellen und legt dann Fristen fest, wann Bundesbehörden das Update für das betroffene Problem installieren sollen. Die Liste, die Aufschluss über Schwachstellen gibt, die Angreifer ausnutzen können, wird regelmäßig um neu angegriffene Schwachstellen erweitert.

Mit dem neuesten Update wurden der Liste insgesamt sieben neu angegriffene Schwachstellen hinzugefügt. Neben dem Dirty-Pipe-Leck in Linux betrifft es auch vier Schwachstellen in Windows die es einem lokalen Angreifer ermöglichen, seine Rechte zu erweitern. Microsoft hat vor zwei Wochen ein Update für eine dieser Schwachstellen (CVE-2022-26904) veröffentlicht. Laut Microsoft war die Schwachstelle zum Zeitpunkt der Veröffentlichung des Patches noch nicht angegriffen. Das hat sich laut CISA inzwischen geändert, was wiederum zeigt, wie schnell Angreifer aufgedeckte Schwachstellen ausnutzen.