Yhdysvallat varoittaa Dirty Pipe -vuodon aktiivisesta väärinkäytöstä Linuxissa

Yhdysvaltain hallitus on antanut varoituksen, että hyökkääjät käyttävät aktiivisesti hyväkseen Linuxin Dirty Pipe -haavoittuvuutta. Haavoittuvuuden ansiosta paikallinen käyttäjä voi saada pääkäyttäjän oikeudet. Yhdysvaltain valtion virastoja on kehotettu korjaamaan järjestelmiensä haavoittuvuus ennen 16. toukokuuta.

Haavoittuvuutta kutsutaan Dirty Pipeksi, koska kiintolevylle pysyvästi tallennetun Linux-tiedoston ja Linux-putken, joka on muistissa oleva tietopuskuri, jota voidaan käyttää tiedostona, välillä on turvaton vuorovaikutus. Jos käyttäjällä on putki, johon kirjoittaa, mutta tiedosto, johon se ei pysty, putken muistipuskuriin kirjoittaminen voi vahingossa muuttaa myös levytiedoston eri osien välimuistissa olevia sivuja.

Tämä saa aikaan sen, että ydin kirjoittaa mukautetun välimuistipuskurin takaisin levylle ja tallennetun tiedoston sisältöä muutetaan pysyvästi tiedoston käyttöoikeuksista riippumatta. Paikallinen käyttäjä voi lisätä SSH-avaimen root-tilille, luoda root shellin tai lisätä cron-työn, joka toimii takaovena ja lisää uuden käyttäjätilin root-oikeuksin, mutta myös tiedostojen muokkaaminen hiekkalaatikon ulkopuolella on mahdollista.

Yhdysvaltain sisäisen turvallisuuden osaston Cybersecurity and Infrastructure Security Agency (CISA) ylläpitää luetteloa haavoittuvuuksista, joihin on hyökätty aktiivisesti, ja asettaa sitten määräajat, jolloin liittovaltion viranomaisten on asennettava päivitys ongelmaan. Luetteloa, joka tarjoaa tietoa haavoittuvuuksista, joita hyökkääjät voivat hyödyntää, täydennetään säännöllisesti uusilla haavoittuvuuksilla, joihin hyökätään.

Uusimman päivityksen myötä listalle on lisätty yhteensä seitsemän uutta haavoittuvuutta. Linuxin Dirty Pipe -vuodon lisäksi se koskee myös neljää haavoittuvuutta Windows joiden avulla paikallinen hyökkääjä voi lisätä oikeuksiaan. Microsoft julkaisi päivityksen yhdelle näistä haavoittuvuuksista (CVE-2022-26904) kaksi viikkoa sitten. Microsoftin mukaan haavoittuvuuteen ei vielä hyökätty korjaustiedoston julkaisuhetkellä. Se on sittemmin muuttunut CISA:n mukaan, mikä osoittaa jälleen, kuinka nopeasti hyökkääjät hyödyntävät paljastettuja haavoittuvuuksia.