El gobierno de EE. UU. ha emitido una advertencia de que los atacantes están explotando activamente la vulnerabilidad de Dirty Pipe en Linux. La vulnerabilidad permite que un usuario local obtenga privilegios de root. Las agencias gubernamentales en los EE. UU. han recibido instrucciones para corregir la vulnerabilidad en sus sistemas antes del 16 de mayo.
La vulnerabilidad se denomina Dirty Pipe debido a la interacción insegura entre un archivo de Linux, que se almacena de forma permanente en el disco duro, y un conducto de Linux, que es un búfer de datos en memoria que se puede utilizar como un archivo. Si un usuario tiene una canalización en la que escribir y un archivo en el que no puede, la escritura en el búfer de memoria de la canalización también puede modificar inadvertidamente las páginas almacenadas en caché de diferentes partes del archivo de disco.
Esto hace que el kernel vuelva a escribir el búfer de caché personalizado en el disco y que el contenido del archivo guardado se modifique permanentemente, independientemente de los permisos del archivo. Un usuario local puede agregar una clave SSH a la cuenta raíz, crear un shell raíz o agregar un trabajo cron que se ejecuta como una puerta trasera y agrega una nueva cuenta de usuario con derechos de raíz, pero también es posible editar archivos fuera de un entorno limitado.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. mantiene una lista de vulnerabilidades atacadas activamente y luego establece plazos en los que las agencias del gobierno federal deben instalar la actualización para el problema afectado. La lista, que proporciona información sobre las vulnerabilidades que los atacantes pueden explotar, se amplía regularmente con vulnerabilidades atacadas recientemente.
Con la última actualización, se han agregado a la lista un total de siete vulnerabilidades recientemente atacadas. Además de la fuga de Dirty Pipe en Linux, también se trata de cuatro vulnerabilidades en Windows que permiten a un atacante local aumentar sus derechos. Microsoft lanzó una actualización para una de estas vulnerabilidades (CVE-2022-26904) hace dos semanas. Según Microsoft, la vulnerabilidad aún no había sido atacada cuando se lanzó el parche. Eso ha cambiado desde entonces, según CISA, que nuevamente indica qué tan rápido los atacantes aprovechan las vulnerabilidades reveladas.