O governo dos EUA emitiu um aviso de que os invasores estão explorando ativamente a vulnerabilidade do Dirty Pipe no Linux. A vulnerabilidade permite que um usuário local obtenha privilégios de root. As agências governamentais dos EUA foram instruídas a corrigir a vulnerabilidade em seus sistemas antes de 16 de maio.
A vulnerabilidade é chamada de Dirty Pipe por causa da interação insegura entre um arquivo Linux, que é armazenado permanentemente no disco rígido, e um tubo Linux, que é um buffer de dados na memória que pode ser usado como um arquivo. Se um usuário tiver um pipe para gravar e um arquivo não puder, gravar no buffer de memória do pipe pode também modificar inadvertidamente as páginas em cache de diferentes partes do arquivo em disco.
Isso faz com que o buffer de cache personalizado seja gravado de volta no disco pelo kernel e o conteúdo do arquivo salvo seja modificado permanentemente, independentemente das permissões do arquivo. Um usuário local pode adicionar uma chave SSH à conta root, criar um shell root ou adicionar um cron job que é executado como backdoor e adiciona uma nova conta de usuário com direitos de root, mas também é possível editar arquivos fora de uma sandbox.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna dos EUA mantém uma lista de vulnerabilidades atacadas ativamente e, em seguida, define prazos quando as agências do governo federal devem instalar a atualização para o problema afetado. A lista, que fornece informações sobre vulnerabilidades que os invasores podem explorar, é expandida regularmente com vulnerabilidades recém-atacadas.
Com a atualização mais recente, um total de sete vulnerabilidades recém-atacadas foram adicionadas à lista. Além do vazamento do Dirty Pipe no Linux, também diz respeito a quatro vulnerabilidades no Windows que permitem que um invasor local aumente seus direitos. A Microsoft lançou uma atualização para uma dessas vulnerabilidades (CVE-2022-26904) há duas semanas. Segundo a Microsoft, a vulnerabilidade ainda não foi atacada no momento em que o patch foi lançado. Isso mudou desde então, de acordo com a CISA, que novamente indica a rapidez com que os invasores aproveitam as vulnerabilidades reveladas.