Linux ha sido víctima de otra vulnerabilidad de escalada de privilegios muy grave en los últimos sucesión a la laguna de los Grupos de control que permitía a los actores de amenazas escapar de los contenedores y ejecutar código arbitrario. Esta nueva vulnerabilidad arma el mecanismo de tubería en Linux y lo usa para obtener acceso de escritura con privilegios de root.
Está llamando la atención en toda la comunidad de Linux y ha sido nominado por ser una de las amenazas más graves descubiertas en Linux desde 2016.
¿Qué es la tubería sucia en Linux?
La vulnerabilidad de Dirty Pipe en Linux permite a los usuarios sin privilegios ejecutar código malicioso capaz de una serie de acciones destructivas que incluyen instalar puertas traseras en el sistema, inyectar código en scripts, alterar binarios utilizados por programas elevados y crear usuarios no autorizados perfiles.
Este error está siendo rastreado como CVE-2022-0847 y ha sido denominado "Tubería sucia" ya que tiene un gran parecido con vaca sucia
, una vulnerabilidad de Linux fácilmente explotable de 2016 que otorgó a un mal actor un nivel idéntico de privilegios y poderes.¿Cómo funciona la tubería sucia?
Dirty Pipe, como sugiere su nombre, hace uso del mecanismo de tubería de Linux con intenciones maliciosas. La canalización es un mecanismo antiguo en Linux que permite que un proceso inyecte datos en otro. Permite a los usuarios locales obtener privilegios de root en cualquier sistema con exploits disponibles públicamente y fáciles de desarrollar.
Es un método de comunicación unidireccional y entre procesos en el que un proceso toma la entrada del anterior y produce una salida para el siguiente en la línea.
Dirty Pipe aprovecha este mecanismo combinado con la función de empalme para sobrescribir archivos confidenciales de solo lectura, por ejemplo, /etc/passwd, que se pueden manipular para obtener una contraseña cáscara de la raíz.
Aunque el proceso puede sonar sofisticado, lo que hace que Dirty Pipe sea increíblemente peligroso es que es redundantemente fácil de replicar.
Pasos para replicar el exploit
Estos son los pasos a seguir según el original. PoC de Max Kellerman:
1. Crea tu pipa.
2. Introduzca datos arbitrarios en la tubería.
3. Drene los datos de la tubería.
4. Con la función de empalme, empalme los datos del archivo de destino en la tubería justo antes del desplazamiento del objetivo.
5.Ingrese datos arbitrarios en la tubería que sobrescribirá la página del archivo en caché.
Hay algunas limitaciones a esta vulnerabilidad. Ciertas condiciones deben cumplirse para una explotación exitosa.
Limitaciones del exploit
Las limitaciones del exploit son:
1. El actor de amenazas debe tener permisos de lectura ya que, sin ellos, no podría usar la función de empalme.
2. El desplazamiento no debe estar en el límite de la página.
3. El proceso de escritura no puede cruzar un límite de página.
4. No se puede cambiar el tamaño del archivo.
¿Quién se ve afectado por la vulnerabilidad de tubería sucia?
La superficie de ataque de Dirty Pipe se extiende por todas las versiones del kernel de Linux desde la 5.8 hasta la 5.16.11. En términos sencillos, significa que todas las distribuciones, desde Ubuntu hasta Arch y todo lo demás, son susceptibles de verse comprometidas por Dirty Pipe.
Las versiones del kernel de Linux afectadas van desde 5.8 para 5.10.101.
Dado que esta vulnerabilidad se encuentra en lo profundo de una pieza fundamental del kernel de Linux, puede tener repercusiones en todo el mundo. La facilidad de explotación junto con su alcance hace que Dirty Pipe sea una gran amenaza para todos los mantenedores de Linux.
Los investigadores están alertando tanto a las empresas como a los usuarios independientes para que parcheen sus servidores y sistemas tan pronto como se implementen las actualizaciones de seguridad.
¿Cómo solucionar la vulnerabilidad de la tubería sucia y está seguro?
Si su sistema es susceptible a Dirty Pipe, lo mejor que puede hacer es actualizar sus sistemas con las últimas actualizaciones de seguridad. La vulnerabilidad fue reportada por primera vez por Max Kellerman de CM4all alrededor del 20 de febrero de 2022 y un parche que mitiga la amenaza en las versiones del kernel. 5.10.102, 5.15.25 y 5.16.11 fue lanzado por el equipo de seguridad del kernel de Linux el 23 de febrero de 2022.
Google ha hecho su parte y reparó la laguna en Android un día después, el 24 de febrero de 2022. Por lo tanto, si ha mantenido sus máquinas Linux actualizadas, debería estar seguro y sin preocupaciones.
¿Cuál es el futuro de la tubería sucia?
Según las estadísticas del servidor Linux, es el sistema operativo elegido por los servidores web con más de 1 millón actualmente desplegados y en línea. Todos estos datos deberían ser suficientes para aclarar el alcance de Dirty Pipe y lo devastador que podría ser.
Para agregarlo, al igual que Dirty Cow, no hay otra forma de mitigarlo que no sea actualizando su kernel. Por lo tanto, los servidores web y los sistemas que ejecutan versiones de kernel susceptibles se enfrentarán a un mundo de problemas si se ven afectados por Dirty Pipe.
Dado que hay una flota de exploits a la deriva en Internet, se recomienda a todos los mantenedores del sistema. mantenerse alerta en todo momento y desconfiar de quien tenga acceso local hasta que sus sistemas estén parcheado
Incluso su máquina Linux es propensa a virus y malware. A menos que sepa de dónde debe descargar su software.
Leer siguiente
- linux
- linux
Suscríbete a nuestro boletín
¡Únase a nuestro boletín para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse
