Resumen: Una nueva vulnerabilidad en Linux conocida como Dirty Pipe, le permite a los actores de amenaza inyectar y sobrescribir datos en archivos arbitrarios para llevar a cabo una escalada de privilegios.
Hace algunos días, un investigador de seguridad de CM4all hosting, advirtió sobre la existencia de una vulnerabilidad rastreada como CVE-2022-0847 que afectaba todas las versiones del kernel de Linux a partir de la 5.8.
El investigador, Max Kellermann, detectó el fallo tras haber analizado un error que corrompía los registros de acceso al servidor de uno de sus clientes.
Fue así como encontró múltiples problemas relacionados con la CRC que supuso debían tratarse de una falla en el kernel.
Más adelante, mediante la búsqueda del código del kernel y con la ayuda de algunas comprobaciones rápidas, confirmó que se trataba de un error que residía en los pipes del kernel.
Los pipes también conocidos como tubería, son una herramienta que permite procesar secuencialmente una serie de comandos referentes a un conjunto de datos o mover eficazmente los datos de un lado a otro entre comandos para establecer una comunicación unidireccional entre procesos.
De acuerdo con el investigador Max Kellermann, para que un actor de amenazas pueda explotar esta vulnerabilidad, es necesario que él mismo cree una tubería y la llene de datos arbitrarios que le ayudarán a establecer la bandera PIPE_BUF_FLAG_CAN_MERGE en todas las entradas del anillo.
Posteriormente, este debe drenar la tubería y dejar la bandera en todas las instancias de struct pipe_buffer, para luego enlazar los datos del archivo destino en la tubería.
Una vez hecho esto, los atacantes deben escribir datos arbitrarios en la tubería que sobrescribirán la página del archivo en caché en lugar de crear un nuevo struct pipe_buffer anónimo porque la PIPE_BUF_FLAG_CAN_MERGE ya está establecida.
Es preciso destacar que la vulnerabilidad funciona sin permisos de escritura, con archivos inmutables, en instantáneas btrfs de solo lectura y en montajes de solo lectura.
Por otro lado, una prueba de concepto para el fallo ha sido publicada, la cual demuestra cómo sobrescribir el contenido de cualquier archivo en la caché de páginas. Finalmente, debido a la facilidad con la que un atacante podría obtener privilegios utilizando este fallo, los expertos consideran que es solo cuestión de tiempo para que la vulnerabilidad comience a ser explotada activamente en la red. Sin embargo, los usuarios podrían mitigar el impacto actualizando sus dispositivos Linux a cualquiera de las siguientes versiones: 5.16.11, 5.15.25 y 5.10.102.
Recomendaciones: Se le insta a todos los usuarios a actualizar los servidores Linux lo antes posible. Referencias: https://www.cyberkendra.com/2022/03/linux-dirty-pipe-vulnerability.html |
SÍGUENOS