ABD hükümeti, saldırganların Linux'taki Dirty Pipe güvenlik açığından aktif olarak yararlandığına dair bir uyarı yayınladı. Güvenlik açığı, yerel bir kullanıcının kök ayrıcalıkları kazanmasına olanak tanır. ABD'deki devlet kurumlarına, sistemlerindeki güvenlik açığını 16 Mayıs'tan önce düzeltmeleri talimatı verildi.
Sabit sürücüde kalıcı olarak depolanan bir Linux dosyası ile bir dosya gibi kullanılabilen bellek içi veri arabelleği olan bir Linux kanalı arasındaki güvenli olmayan etkileşim nedeniyle bu güvenlik açığına Dirty Pipe adı veriliyor. Kullanıcının yazabileceği bir kanal varsa ve yazamadığı bir dosya varsa, kanalın bellek arabelleğine yazmak, disk dosyasının farklı bölümlerinin önbelleğe alınmış sayfalarını da yanlışlıkla değiştirebilir.
Bu, özel önbellek arabelleğinin çekirdek tarafından diske geri yazılmasına ve kaydedilen dosyanın içeriğinin, dosyanın izinlerine bakılmaksızın kalıcı olarak değiştirilmesine neden olur. Yerel bir kullanıcı, kök hesaba bir SSH anahtarı ekleyebilir, bir kök kabuk oluşturabilir veya arka kapı olarak çalışan bir cron işi ekleyebilir ve kök haklarına sahip yeni bir kullanıcı hesabı ekleyebilir, ancak dosyaları sanal alan dışında düzenlemek de mümkündür.
ABD İç Güvenlik Bakanlığı'na bağlı Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak saldırıya uğrayan güvenlik açıklarının bir listesini tutar ve ardından federal hükümet kurumlarının etkilenen sorun için güncellemeyi yüklemesi gereken son tarihleri belirler. Saldırganların yararlanabileceği güvenlik açıklarına ilişkin bilgi sağlayan liste, yeni saldırıya uğrayan güvenlik açıklarıyla düzenli olarak genişletiliyor.
Son güncellemeyle birlikte listeye yeni saldırılan toplam yedi güvenlik açığı eklendi. Linux'taki Dirty Pipe sızıntısına ek olarak, aynı zamanda dört güvenlik açığıyla da ilgilidir. Windows Bu, yerel bir saldırganın haklarını artırmasına olanak tanır. Microsoft, iki hafta önce bu güvenlik açıklarından birine (CVE-2022-26904) yönelik bir güncelleştirme yayımladı. Microsoft'a göre, yamanın yayınlandığı sırada güvenlik açığı henüz saldırıya uğramamıştı. CISA'ya göre o zamandan beri bu durum değişti; bu da saldırganların ortaya çıkan güvenlik açıklarından ne kadar hızlı yararlandığını bir kez daha gösteriyor.