Les États-Unis mettent en garde contre l'abus actif de la fuite de Dirty Pipe dans Linux

Le gouvernement américain a émis un avertissement indiquant que des attaquants exploitent activement la vulnérabilité Dirty Pipe sous Linux. La vulnérabilité permet à un utilisateur local d'obtenir des privilèges root. Les agences gouvernementales aux États-Unis ont reçu pour instruction de corriger la vulnérabilité de leurs systèmes avant le 16 mai.

La vulnérabilité est appelée Dirty Pipe en raison de l'interaction non sécurisée entre un fichier Linux, qui est stocké en permanence sur le disque dur, et un canal Linux, qui est un tampon de données en mémoire pouvant être utilisé comme un fichier. Si un utilisateur a un canal dans lequel écrire et un fichier qu'il ne peut pas, écrire dans la mémoire tampon du canal peut également modifier par inadvertance les pages mises en cache de différentes parties du fichier disque.

Cela entraîne la réécriture du tampon de cache personnalisé sur le disque par le noyau et la modification permanente du contenu du fichier enregistré, quelles que soient les autorisations du fichier. Un utilisateur local peut ajouter une clé SSH au compte root, créer un shell root ou ajouter une tâche cron qui s'exécute comme une porte dérobée et ajoute un nouveau compte utilisateur avec des droits root, mais il est également possible de modifier des fichiers en dehors d'un bac à sable.

La Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security des États-Unis tient à jour une liste des vulnérabilités activement attaquées, puis fixe des délais lorsque les agences gouvernementales fédérales doivent installer la mise à jour pour le problème concerné. La liste, qui donne un aperçu des vulnérabilités que les attaquants peuvent exploiter, est régulièrement élargie avec les vulnérabilités nouvellement attaquées.

Avec la dernière mise à jour, un total de sept vulnérabilités nouvellement attaquées ont été ajoutées à la liste. Outre la fuite Dirty Pipe sous Linux, il s'agit également de quatre vulnérabilités dans Windows qui permettent à un attaquant local d'augmenter ses droits. Microsoft a publié il y a deux semaines une mise à jour pour l'une de ces vulnérabilités (CVE-2022-26904). Selon Microsoft, la vulnérabilité n'était pas encore attaquée au moment de la publication du correctif. Cela a changé depuis, selon la CISA, ce qui indique à nouveau à quelle vitesse les attaquants profitent des vulnérabilités révélées.