De Amerikaanse regering heeft gewaarschuwd dat aanvallers actief misbruik maken van de Dirty Pipe-kwetsbaarheid in Linux. Door het beveiligingslek kan een lokale gebruiker rootrechten verkrijgen. Overheidsinstanties in de VS hebben de opdracht gekregen om de kwetsbaarheid in hun systemen vóór 16 mei te verhelpen.
De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, een gegevensbuffer in het geheugen die als een bestand kan worden gebruikt. Als een gebruiker een pipe heeft om naar te schrijven en een bestand dat niet kan, kan het schrijven naar de geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand wijzigen.
Hierdoor wordt de aangepaste cachebuffer door de kernel teruggeschreven naar schijf en wordt de inhoud van het opgeslagen bestand permanent gewijzigd, ongeacht de machtigingen van het bestand. Een lokale gebruiker kan een SSH-sleutel toevoegen aan het root-account, een root-shell maken of een cron-job toevoegen die als backdoor draait en een nieuw gebruikersaccount met root-rechten toevoegen, maar ook bestanden bewerken buiten een sandbox is mogelijk.
De Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Binnenlandse Veiligheid houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines vast wanneer federale overheidsinstanties de update voor het getroffen probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waar aanvallers misbruik van kunnen maken, wordt regelmatig uitgebreid met nieuw aangevallen kwetsbaarheden.
Met de laatste update zijn er in totaal zeven nieuw aangevallen kwetsbaarheden toegevoegd aan de lijst. Naast het Dirty Pipe-lek in Linux gaat het ook om vier kwetsbaarheden in Windows waarmee een lokale aanvaller zijn rechten kan vergroten. Microsoft heeft twee weken geleden een update uitgebracht voor een van deze kwetsbaarheden (CVE-2022-26904). Volgens Microsoft was de kwetsbaarheid nog niet aangevallen op het moment dat de patch uitkwam. Daar is sindsdien verandering in gekomen, aldus de CISA, die weer aangeeft hoe snel aanvallers misbruik maken van geopenbaarde kwetsbaarheden.