O goberno dos Estados Unidos emitiu unha advertencia de que os atacantes están a explotar activamente a vulnerabilidade Dirty Pipe en Linux. A vulnerabilidade permite a un usuario local obter privilexios de root. As axencias gobernamentais dos Estados Unidos recibiron instrucións para corrixir a vulnerabilidade dos seus sistemas antes do 16 de maio.
A vulnerabilidade chámase Dirty Pipe debido á interacción insegura entre un ficheiro de Linux, que se almacena permanentemente no disco duro, e un tubo de Linux, que é un búfer de datos na memoria que se pode usar como un ficheiro. Se un usuario ten unha canalización na que escribir e un ficheiro que non pode, a escritura no búfer de memoria da canalización tamén pode modificar sen querer as páxinas almacenadas na caché de diferentes partes do ficheiro de disco.
Isto fai que o búfer de caché personalizado se escriba de novo no disco polo núcleo e que o contido do ficheiro gardado modifique permanentemente, independentemente dos permisos do ficheiro. Un usuario local pode engadir unha chave SSH á conta root, crear un shell raíz ou engadir un traballo cron que se execute como unha porta traseira e engade unha nova conta de usuario con dereitos de root, pero tamén é posible editar ficheiros fóra dun sandbox.
A Axencia de Seguridade de Infraestruturas e Ciberseguridade (CISA) do Departamento de Seguridade Nacional dos Estados Unidos mantén unha lista de vulnerabilidades atacadas activamente e, a continuación, establece prazos nos que as axencias do goberno federal deben instalar a actualización para o problema afectado. A lista, que ofrece información sobre as vulnerabilidades que os atacantes poden explotar, amplíase regularmente con vulnerabilidades recentemente atacadas.
Coa última actualización, engadíronse á lista un total de sete vulnerabilidades recentemente atacadas. Ademais da fuga de Dirty Pipe en Linux, tamén se refire a catro vulnerabilidades Windows que permiten a un atacante local aumentar os seus dereitos. Microsoft lanzou unha actualización para unha destas vulnerabilidades (CVE-2022-26904) hai dúas semanas. Segundo Microsoft, a vulnerabilidade aínda non foi atacada no momento en que se lanzou o parche. Isto cambiou desde entón, segundo o CISA, que volve indicar a rapidez con que os atacantes se aproveitan das vulnerabilidades reveladas.