Η κυβέρνηση των ΗΠΑ εξέδωσε μια προειδοποίηση ότι οι εισβολείς εκμεταλλεύονται ενεργά την ευπάθεια Dirty Pipe στο Linux. Η ευπάθεια επιτρέπει σε έναν τοπικό χρήστη να αποκτήσει δικαιώματα root. Οι κυβερνητικές υπηρεσίες στις ΗΠΑ έχουν λάβει οδηγίες να διορθώσουν την ευπάθεια στα συστήματά τους πριν από τις 16 Μαΐου.
Η ευπάθεια ονομάζεται Dirty Pipe λόγω της μη ασφαλούς αλληλεπίδρασης μεταξύ ενός αρχείου Linux, το οποίο είναι αποθηκευμένο μόνιμα στον σκληρό δίσκο, και ενός σωλήνα Linux, που είναι μια προσωρινή μνήμη δεδομένων που μπορεί να χρησιμοποιηθεί σαν αρχείο. Εάν ένας χρήστης έχει ένα σωλήνα για να γράψει και ένα αρχείο στο οποίο δεν μπορεί, η εγγραφή στο buffer μνήμης του σωλήνα ενδέχεται να τροποποιήσει κατά λάθος τις αποθηκευμένες σελίδες διαφορετικών τμημάτων του αρχείου δίσκου.
Αυτό προκαλεί την εγγραφή της προσαρμοσμένης προσωρινής μνήμης προσωρινής αποθήκευσης πίσω στο δίσκο από τον πυρήνα και τα περιεχόμενα του αποθηκευμένου αρχείου τροποποιούνται μόνιμα, ανεξάρτητα από τα δικαιώματα του αρχείου. Ένας τοπικός χρήστης μπορεί να προσθέσει ένα κλειδί SSH στον λογαριασμό root, να δημιουργήσει ένα ριζικό κέλυφος ή να προσθέσει μια εργασία cron που εκτελείται ως backdoor και προσθέτει έναν νέο λογαριασμό χρήστη με δικαιώματα root, αλλά είναι δυνατή και η επεξεργασία αρχείων εκτός sandbox.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) του Υπουργείου Εσωτερικής Ασφάλειας των Η.Π.Α. διατηρεί μια λίστα με τα τρωτά σημεία που έχουν επιτεθεί ενεργά και στη συνέχεια ορίζει προθεσμίες κατά τις οποίες οι ομοσπονδιακές κυβερνητικές υπηρεσίες θα πρέπει να εγκαταστήσουν την ενημέρωση για το επηρεαζόμενο ζήτημα. Η λίστα, η οποία παρέχει πληροφορίες για τα τρωτά σημεία που μπορούν να εκμεταλλευτούν οι εισβολείς, επεκτείνεται τακτικά με ευπάθειες που δέχθηκαν πρόσφατα επίθεση.
Με την τελευταία ενημέρωση, συνολικά επτά ευπάθειες που δέχθηκαν πρόσφατα επίθεση προστέθηκαν στη λίστα. Εκτός από τη διαρροή Dirty Pipe στο Linux, αφορά επίσης τέσσερα τρωτά σημεία στο Windows που επιτρέπουν σε έναν τοπικό εισβολέα να αυξήσει τα δικαιώματά του. Η Microsoft κυκλοφόρησε μια ενημέρωση για ένα από αυτά τα τρωτά σημεία (CVE-2022-26904) πριν από δύο εβδομάδες. Σύμφωνα με τη Microsoft, η ευπάθεια δεν είχε ακόμη επιτεθεί τη στιγμή που κυκλοφόρησε η ενημέρωση κώδικα. Αυτό άλλαξε έκτοτε, σύμφωνα με την CISA, η οποία υποδεικνύει και πάλι πόσο γρήγορα οι επιτιθέμενοι εκμεταλλεύονται τα αποκαλυφθέντα τρωτά σημεία.