Правительство США выпустило предупреждение о том, что злоумышленники активно используют уязвимость Dirty Pipe в Linux. Уязвимость позволяет локальному пользователю получить привилегии root. Правительственным органам США дано указание устранить уязвимость в своих системах до 16 мая.
Уязвимость называется Dirty Pipe из-за небезопасного взаимодействия между файлом Linux, который постоянно хранится на жестком диске, и каналом Linux, представляющим собой буфер данных в памяти, который можно использовать как файл. Если у пользователя есть канал для записи и файл, который он не может записать, запись в буфер памяти канала может также непреднамеренно изменить кэшированные страницы различных частей дискового файла.
Это приводит к тому, что пользовательский кэш-буфер записывается ядром обратно на диск, а содержимое сохраненного файла постоянно изменяется, независимо от прав доступа к файлу. Локальный пользователь может добавить ключ SSH к учетной записи root, создать корневую оболочку или добавить задание cron, которое работает как бэкдор и добавляет новую учетную запись пользователя с правами root, но также возможно редактирование файлов вне песочницы.
Агентство кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США ведет список активно атакованных уязвимостей, а затем устанавливает крайние сроки, когда федеральные правительственные учреждения должны установить обновление для затронутой проблемы. Список уязвимостей, которыми могут воспользоваться злоумышленники, регулярно пополняется новыми атакованными уязвимостями.
С последним обновлением в список было добавлено в общей сложности семь недавно атакованных уязвимостей. Помимо утечки Dirty Pipe в Linux, речь идет также о четырех уязвимостях в Windows которые позволяют локальному злоумышленнику увеличить свои права. Microsoft выпустила обновление для одной из этих уязвимостей (CVE-2022-26904) две недели назад. По данным Microsoft, на момент выпуска патча уязвимость еще не подвергалась атаке. По данным CISA, с тех пор ситуация изменилась, что еще раз указывает на то, как быстро злоумышленники пользуются обнаруженными уязвимостями.