Den amerikanska regeringen har utfärdat en varning om att angripare aktivt utnyttjar sårbarheten Dirty Pipe i Linux. Sårbarheten tillåter en lokal användare att få root-privilegier. Statliga myndigheter i USA har instruerats att åtgärda sårbarheten i sina system före den 16 maj.
Sårbarheten kallas Dirty Pipe på grund av den osäkra interaktionen mellan en Linux-fil, som lagras permanent på hårddisken, och en Linux-pipe, som är en databuffert i minnet som kan användas som en fil. Om en användare har en pipe att skriva till och en fil den inte kan, kan skrivning till pipens minnesbuffert oavsiktligt också ändra de cachade sidorna i olika delar av diskfilen.
Detta gör att den anpassade cachebufferten skrivs tillbaka till disken av kärnan och innehållet i den sparade filen ändras permanent, oavsett filens behörigheter. En lokal användare kan lägga till en SSH-nyckel till root-kontot, skapa ett root-skal eller lägga till ett cron-jobb som körs som en bakdörr och lägga till ett nytt användarkonto med root-rättigheter, men det är även möjligt att redigera filer utanför en sandlåda.
Cybersecurity and Infrastructure Security Agency (CISA) vid US Department of Homeland Security upprätthåller en lista över aktivt attackerade sårbarheter och anger sedan tidsfrister när federala myndigheter ska installera uppdateringen för det berörda problemet. Listan, som ger insikt i sårbarheter som angripare kan utnyttja, utökas regelbundet med nyligen attackerade sårbarheter.
Med den senaste uppdateringen har totalt sju nyligen attackerade sårbarheter lagts till listan. Förutom Dirty Pipe-läckan i Linux, handlar det också om fyra sårbarheter i Windows som tillåter en lokal angripare att öka sina rättigheter. Microsoft släppte en uppdatering för en av dessa sårbarheter (CVE-2022-26904) för två veckor sedan. Enligt Microsoft var sårbarheten ännu inte attackerad när patchen släpptes. Det har sedan dess ändrats, enligt CISA, som återigen indikerar hur snabbt angripare utnyttjar avslöjade sårbarheter.