image

VS waarschuwt voor actief misbruik van Dirty Pipe-lek in Linux

dinsdag 26 april 2022, 09:42 door Redactie, 5 reacties

De Amerikaanse overheid heeft een waarschuwing afgegeven dat aanvallers actief misbruik maken van het Dirty Pipe-lek in Linux. Via het lek kan een lokale gebruiker rootrechten krijgen. Overheidsinstanties in de VS zijn opgedragen om het beveiligingslek voor 16 mei in hun systemen te verhelpen.

De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de onveilige interactie tussen een Linux-bestand, dat permanent op de harde schijf wordt opgeslagen, en een Linux-pipe, wat een databuffer in het geheugen is die als een bestand is te gebruiken. Wanneer een gebruiker een pipe heeft om naar toe te schrijven en een bestand waarbij dit niet kan, dan kan het schrijven naar het geheugenbuffer van de pipe onbedoeld ook de gecachte pagina's van verschillende delen van het schijfbestand aanpassen.

Hierdoor wordt de aangepaste cachebuffer door de kernel terug naar de schijf geschreven en de inhoud van het opgeslagen bestand permanent aangepast, ongeachte de permissies van het bestand. Een lokale gebruiker kan zo een SSH-key aan het root-account toevoegen, een rootshell aanmaken of een cronjob toevoegen die als backdoor draait en een nieuw gebruikersaccount met rootrechten toevoegt, maar ook het aanpassen van bestanden buiten een sandbox is mogelijk.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid.

Met de laatste update zijn erin totaal zeven nieuw aangevallen kwetsbaarheden aan de lijst toegevoegd. Het gaat naast het Dirty Pipe-lek in Linux ook om vier kwetsbaarheden in Windows waardoor een lokale aanvaller zijn rechten kan verhogen. Voor één van deze beveiligingslekken (CVE-2022-26904) kwam Microsoft twee weken geleden met een update. Volgens Microsoft werd het lek op het moment dat de patch uitkwam nog niet aangevallen. Dat is inmiddels veranderd, aldus het CISA, wat wederom aangeeft hoe snel aanvallers misbruik van geopenbaarde kwetsbaarheden maken.

Reacties (5)
26-04-2022, 12:41 door Anoniem
Al op 8 maart 2022 heeft Canonical patches laten uitrollen voor Dirty Pipe.

Zie daarvoor het artikel.
https://9to5linux.com/canonical-patches-dirty-pipe-vulnerability-in-ubuntu-21-10-and-20-04-lts-update-now
27-04-2022, 11:48 door walmare
Zouden er echt overheden zijn die dit nog niet gepatcht hebben? want patchen onder Linux is zeer betrouwbaar en makkelijk vergeleken met een bekend consumenten OS. Dat haal je niet uit dit waarschuwingsstuk van de overheid.
Het is alleen een constatering dat hackers dit proberen uit te buiten zonder de succes rate te vermelden.

Hier wordt het probleem veel beter uitgelegd (incl concept exploit): https://dirtypipe.cm4all.com/ door de man die het heeft uitgespit.
27-04-2022, 16:38 door Anoniem
Door Anoniem: Al op 8 maart 2022 heeft Canonical patches laten uitrollen voor Dirty Pipe.

Zie daarvoor het artikel.
https://9to5linux.com/canonical-patches-dirty-pipe-vulnerability-in-ubuntu-21-10-and-20-04-lts-update-now

Uitbrengen is niet voldoende, moet ook door iedereen worden geinstalleerd... blijkbaar wordt dat niet overal (direct) gedaan.
27-04-2022, 16:39 door Anoniem
Door walmare: Zouden er echt overheden zijn die dit nog niet gepatcht hebben? want patchen onder Linux is zeer betrouwbaar en makkelijk vergeleken met een bekend consumenten OS. Dat haal je niet uit dit waarschuwingsstuk van de overheid.
Het is alleen een constatering dat hackers dit proberen uit te buiten zonder de succes rate te vermelden.

Hier wordt het probleem veel beter uitgelegd (incl concept exploit): https://dirtypipe.cm4all.com/ door de man die het heeft uitgespit.

Vertrouwen is goed, controleren is beter...
Veel grote bedrijven test/accepteren eerst updates voordat ze naar productie gaan, ongeacht wel OS of applicatie.
27-04-2022, 17:55 door karma4
Door walmare: Zouden er echt overheden zijn die dit nog niet gepatcht hebben? want patchen onder Linux is zeer betrouwbaar en makkelijk vergeleken met een bekend consumenten OS. Dat haal je niet uit dit waarschuwingsstuk van de overheid.
Het is alleen een constatering dat hackers dit proberen uit te buiten zonder de succes rate te vermelden.

Hier wordt het probleem veel beter uitgelegd (incl concept exploit): https://dirtypipe.cm4all.com/ door de man die het heeft uitgespit.
Je mist echt wat betrouwbaar beheer is. Toch wel vreemd dat zo;n dirty pipe fout gewoon in pen source voorkomt.
Wat zit er nog meer fout en wat kan nog meer fout gaan.
In de vele IOT apparaten zal een update nog wel eens problematisch kunnen zijn.

UiIteindelijk: vertrouwen is goed, controleren is beter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.