Pamaréntah AS parantos ngaluarkeun peringatan yén panyerang aktip ngeksploitasi kerentanan Dirty Pipe dina Linux. Kerentanan ngamungkinkeun pamaké lokal pikeun meunangkeun hak husus root. Badan pamaréntahan di AS parantos maréntahkeun pikeun ngalereskeun kerentanan dina sistemna sateuacan 16 Mei.
Kerentanan disebut Dirty Pipe kusabab interaksi anu teu aman antara file Linux, anu disimpen permanén dina hard drive, sareng pipa Linux, anu mangrupikeun panyangga data dina mémori anu tiasa dianggo sapertos file. Upami pangguna gaduh pipa pikeun nyerat sareng file éta henteu tiasa, nyerat kana panyangga mémori pipa sacara teu kahaja ogé tiasa ngarobih halaman anu sindangan tina bagian anu béda dina file disk.
Ieu nyababkeun panyangga cache khusus ditulis deui kana disk ku kernel sareng eusi file anu disimpen dirobih permanén, henteu paduli idin file. Pamaké lokal tiasa nambihan konci SSH kana akun akar, nyiptakeun cangkang akar atanapi nambihan padamelan cron anu dijalankeun salaku backdoor sareng nambihan akun pangguna énggal sareng hak akar, tapi ogé ngédit file di luar kotak pasir mungkin.
Badan Kaamanan Siber sareng Infrastruktur (CISA) Departemen Kaamanan Dalam Negeri AS ngajaga daptar kerentanan anu diserang aktip teras netepkeun wates waktu nalika lembaga pamaréntah féderal kedah masang apdet pikeun masalah anu kapangaruhan. Daptar éta, anu masihan wawasan ngeunaan kerentanan anu tiasa dimanfaatkeun ku panyerang, sacara rutin dilegakeun kalayan kerentanan anu nembé diserang.
Kalayan pembaruan pangénggalna, jumlahna aya tujuh kerentanan anu nembé diserang parantos ditambah kana daptar. Salian bocorna Dirty Pipe di Linux, éta ogé aya opat kerentanan dina Windows anu ngamungkinkeun panyerang lokal ningkatkeun hak-hakna. Microsoft ngaluarkeun apdet pikeun salah sahiji kerentanan ieu (CVE-2022-26904) dua minggu ka tukang. Numutkeun kana Microsoft, kerentanan éta henteu acan diserang nalika patch dileupaskeun. Éta parantos robih, numutkeun CISA, anu nunjukkeun deui kumaha gancang panyerang ngamangpaatkeun kerentanan anu diungkabkeun.