Linux est devenu la proie d'une autre vulnérabilité d'escalade de privilèges très grave ces dernières années. succession à la faille des groupes de contrôle qui permettait aux acteurs de la menace de s'échapper des conteneurs et d'exécuter code arbitraire. Cette nouvelle vulnérabilité arme le mécanisme de canalisation de Linux et l'utilise pour obtenir un accès en écriture avec les privilèges root.
Il fait sourciller toute la communauté Linux et a été nommé comme l'une des menaces les plus graves découvertes dans Linux depuis 2016.
Qu'est-ce que Dirty Pipe sous Linux ?
La vulnérabilité Dirty Pipe sous Linux permet aux utilisateurs non privilégiés d'exécuter un code malveillant capable d'une multitude d'actions destructrices, notamment installer des portes dérobées dans le système, injecter du code dans des scripts, modifier les binaires utilisés par des programmes élevés et créer un utilisateur non autorisé profils.
Ce bogue est suivi comme CVE-2022-0847 et a été qualifié "Tuyau sale" puisqu'il ressemble beaucoup à
Vache sale, une vulnérabilité Linux facilement exploitable de 2016 qui accordait à un mauvais acteur un niveau identique de privilèges et de pouvoirs.Comment fonctionne le tuyau sale ?
Dirty Pipe, comme son nom l'indique, utilise le mécanisme de pipeline de Linux avec une intention malveillante. La canalisation est un mécanisme séculaire de Linux qui permet à un processus d'injecter des données dans un autre. Il permet aux utilisateurs locaux d'obtenir des privilèges root sur n'importe quel système avec des exploits accessibles au public et facilement développés.
Il s'agit d'une méthode de communication unidirectionnelle et inter-processus dans laquelle un processus prend une entrée du précédent et produit une sortie pour le suivant dans la ligne.
Dirty Pipe profite de ce mécanisme combiné à la fonction d'épissage pour écraser fichiers sensibles en lecture seule, par exemple, /etc/passwd, qui peuvent être manipulés pour obtenir un mot de passe sans mot de passe coque racine.
Bien que le processus puisse sembler sophistiqué, ce qui rend Dirty Pipe incroyablement dangereux, c'est qu'il est extrêmement facile à reproduire.
Étapes pour répliquer l'exploit
Voici les étapes à suivre selon l'original PoC de Max Kellerman:
1. Créez votre tuyau.
2. Entrez des données arbitraires dans le tube.
3. Videz les données du tuyau.
4. À l'aide de la fonction de raccordement, raccordez les données du fichier cible dans le tube juste avant le décalage de la cible.
5.Entrez des données arbitraires dans le canal qui écraseront la page du fichier mis en cache.
Il existe quelques limites à cette vulnérabilité. Certaines conditions doivent être réunies pour une exploitation réussie.
Limites de l'exploit
Les limitations de l'exploit sont :
1. L'auteur de la menace doit avoir des autorisations de lecture car, sans cela, il ne pourrait pas utiliser la fonction de splice.
2. Le décalage ne doit pas être sur la limite de la page.
3. Le processus d'écriture ne peut pas franchir une limite de page.
4. Le fichier ne peut pas être redimensionné.
Qui est concerné par la vulnérabilité Dirty Pipe ?
La surface d'attaque de Dirty Pipe s'étend sur toutes les versions du noyau Linux de 5.8 à 5.16.11. En termes simples, cela signifie que toutes les distributions, d'Ubuntu à Arch et tout le reste, sont susceptibles d'être compromises par Dirty Pipe.
Les versions du noyau Linux concernées vont de 5.8 pour 5.10.101.
Étant donné que cette vulnérabilité est profondément ancrée dans un élément fondamental du noyau Linux, elle peut avoir des répercussions dans le monde entier. La facilité d'exploitation associée à sa portée fait de Dirty Pipe une menace majeure pour tous les mainteneurs de Linux.
Les chercheurs alertent les entreprises et les utilisateurs indépendants pour qu'ils corrigent leurs serveurs et leurs systèmes dès que les mises à jour de sécurité sont déployées.
Comment réparer la vulnérabilité du tuyau sale et êtes-vous en sécurité ?
Si votre système est sensible à Dirty Pipe, la meilleure chose à faire est de mettre à jour vos systèmes avec les dernières mises à jour de sécurité. La vulnérabilité a été signalée pour la première fois par Max Kellerman de CM4all vers le 20 février 2022, et un correctif atténuant la menace sur les versions du noyau 5.10.102, 5.15.25 et 5.16.11 a été publié par l'équipe de sécurité du noyau Linux le 23 février 2022.
Google a joué son rôle et a corrigé la faille dans Android un jour plus tard, le 24 février 2022. Donc, si vous avez gardé vos machines Linux à jour, vous devriez être sans souci et en sécurité.
Quel est l'avenir de Dirty Pipe ?
Selon les statistiques des serveurs Linux, c'est le système d'exploitation de choix pour les serveurs Web avec plus d'un million actuellement déployés et en ligne. Toutes ces données devraient être suffisantes pour clarifier la portée de Dirty Pipe et à quel point cela pourrait être dévastateur.
Pour ajouter à cela, tout comme Dirty Cow, il n'y a pas d'autre moyen de l'atténuer que de mettre à jour votre noyau. Ainsi, les serveurs Web et les systèmes exécutant des versions de noyau sensibles sont confrontés à un monde de problèmes s'ils sont touchés par Dirty Pipe.
Étant donné qu'il existe une flotte d'exploits qui dérivent sur Internet, il est conseillé à tous les responsables du système rester sur leurs gardes à tout moment et se méfier de quiconque a un accès local jusqu'à ce que leurs systèmes soient patché.
Même votre machine Linux est sujette aux virus et aux logiciels malveillants. Sauf si vous savez d'où vous devez télécharger votre logiciel.
Lire la suite
- Linux
- Linux
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !
Cliquez ici pour vous abonner
