Gli Stati Uniti mettono in guardia contro l'abuso attivo della perdita di Dirty Pipe in Linux

Il governo degli Stati Uniti ha emesso un avviso che gli aggressori stanno sfruttando attivamente la vulnerabilità di Dirty Pipe in Linux. La vulnerabilità consente a un utente locale di ottenere i privilegi di root. Le agenzie governative negli Stati Uniti sono state incaricate di correggere la vulnerabilità nei loro sistemi prima del 16 maggio.

La vulnerabilità si chiama Dirty Pipe a causa dell'interazione non sicura tra un file Linux, che è memorizzato permanentemente sul disco rigido, e una pipe Linux, che è un buffer di dati in memoria che può essere utilizzato come un file. Se un utente ha una pipe su cui scrivere e un file non può, la scrittura nel buffer di memoria della pipe può inavvertitamente modificare anche le pagine memorizzate nella cache di diverse parti del file del disco.

Ciò fa sì che il buffer della cache personalizzato venga riscritto sul disco dal kernel e il contenuto del file salvato venga modificato in modo permanente, indipendentemente dai permessi del file. Un utente locale può aggiungere una chiave SSH all'account root, creare una shell di root o aggiungere un processo cron che viene eseguito come backdoor e aggiunge un nuovo account utente con diritti di root, ma è anche possibile modificare file al di fuori di una sandbox.

La Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento per la sicurezza interna degli Stati Uniti mantiene un elenco delle vulnerabilità attaccate attivamente e quindi fissa le scadenze in cui le agenzie del governo federale dovrebbero installare l'aggiornamento per il problema interessato. L'elenco, che fornisce informazioni dettagliate sulle vulnerabilità che gli aggressori possono sfruttare, viene regolarmente ampliato con le nuove vulnerabilità attaccate.

Con l'ultimo aggiornamento, sono state aggiunte all'elenco un totale di sette nuove vulnerabilità attaccate. Oltre alla perdita di Dirty Pipe in Linux, riguarda anche quattro vulnerabilità in Windows che consentono a un aggressore locale di aumentare i suoi diritti. Microsoft ha rilasciato un aggiornamento per una di queste vulnerabilità (CVE-2022-26904) due settimane fa. Secondo Microsoft, la vulnerabilità non è stata ancora attaccata al momento del rilascio della patch. Da allora le cose sono cambiate, secondo la CISA, che indica ancora una volta la rapidità con cui gli aggressori sfruttano le vulnerabilità rivelate.