Уряд США оприлюднив попередження про те, що зловмисники активно використовують уразливість Dirty Pipe в Linux. Уразливість дозволяє локальному користувачеві отримати привілеї root. Державним установам США доручено виправити вразливість у своїх системах до 16 травня.
Уразливість називається Dirty Pipe через небезпечну взаємодію між файлом Linux, який постійно зберігається на жорсткому диску, і каналом Linux, який є буфером даних у пам’яті, який можна використовувати як файл. Якщо у користувача є канал для запису, а файл, який він не може, запис у буфер пам’яті каналу може також ненавмисно змінити кешовані сторінки різних частин файлу диска.
Це призводить до того, що ядро записує спеціальний буфер кешу назад на диск, а вміст збереженого файлу постійно змінюється, незалежно від дозволів файлу. Локальний користувач може додати ключ SSH до кореневого облікового запису, створити оболонку root або додати завдання cron, яке запускається як бекдор і додає новий обліковий запис користувача з правами root, але також можливо редагувати файли за межами пісочниці.
Агентство кібербезпеки та безпеки інфраструктури (CISA) Міністерства внутрішньої безпеки США веде список уразливостей, які активно атакуються, а потім встановлює терміни, коли федеральні урядові установи повинні інсталювати оновлення для відповідної проблеми. Список, який дає уявлення про вразливості, якими можуть скористатися зловмисники, регулярно доповнюється новими вразливими місцями.
З останнім оновленням до списку було додано загалом сім нових атакованих уразливостей. На додаток до витоку Dirty Pipe в Linux, це також стосується чотирьох вразливостей Windows які дозволяють місцевому зловмиснику збільшити свої права. Корпорація Майкрософт випустила оновлення для однієї з цих уразливостей (CVE-2022-26904) два тижні тому. За словами Microsoft, на момент випуску виправлення вразливість ще не була атакована. З тих пір ситуація змінилася, згідно з CISA, що знову вказує на те, як швидко зловмисники використовують виявлені вразливості.