Offenlegung von Dirty Pipe: Gibt Root-Berechtigungen und betrifft die neuesten Versionen von Linux

[post-views]
März 11, 2022 · 3 min zu lesen
Offenlegung von Dirty Pipe: Gibt Root-Berechtigungen und betrifft die neuesten Versionen von Linux

Ein neuartiger Fehler namens Dirty Pipe (CVE-2022-0847) ermöglicht eine Privilegieneskalation und erlaubt Angreifern, Root-Zugriff zu erlangen, indem sie Daten in schreibgeschützten Dateien und SUID-Binaries überschreiben. Die Schwachstelle liegt in der fehlerhaften Handhabung von Pufferflaggen in Pipes durch den Linux-Kernel. Der Name bezieht sich auf einen Linux-Mechanismus der Prozessinteraktion innerhalb des Betriebssystems, genannt Pipeline.

Der Fehler ähnelt Dirty Cow, ebenfalls eine Privilegieneskalations-Schwachstelle im Linux-Kernel, die 2016 behoben wurde, mit dem wesentlichen Unterschied, dass die neuartige Schwachstelle leichter auszunutzen ist.

Dirty Pipe Schwachstellenerkennung

Um CVE-2022-0847 entweder durch den Binärnamen oder durch den allgemeinen Offset von „1“, der mit sensiblen Verzeichnissen weitergegeben wird, die Ziele für Privilegieneskalation sind, zu erkennen, nutzen Sie die folgende Bedrohungserkennungs-Inhalte:

Mögliche CVE-2022-0847 Dirty Pipe POC-Ausführung (über process_creation)

Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.

Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt, das die Privilegieneskalationstaktik mit Ausnutzung zur Privilegieneskalation als primäre Technik adressiert.

Neben der oben genannten Sigma-Regel können Sie die YARA-Regel unseres erstklassigen Threat Bounty Entwicklers Kaan Yeniyol verwenden:

DirtyPipe Exploitation Tool erkennen

Um die Dirty Pipe Schwachstelle zu erkennen, sehen Sie sich die vollständige Liste der Regeln im Threat Detection Marketplace Repository der SOC Prime Plattform an. Möchten Sie Ihre eigenen Sigma-Regeln erstellen? Treten Sie unserem Threat Bounty Programm bei und erhalten Sie Belohnungen für Ihren wertvollen Beitrag.

Erkennungen anzeigen Threat Bounty beitreten

Analyse von Dirty Pipe

Das vergangene Jahr war nicht das glücklichste für Linux, da zahlreiche Linux-Exploits ans Licht kamen. Ein zuvor undokumentierter, prominenter Linux-Fehler zur Privilegieneskalation, der von IONOS Softwareentwickler Max Kellermann offengelegt wurde, betrifft grundlegende Funktionen des Linux-Kernels.

In dem veröffentlichten Dirty Pipe PoC Exploit zeigt Kellermann, wie die Schwachstelle ausgenutzt werden kann, um nicht-privilegierten Benutzern das Hinzufügen eines SSH-Schlüssels zum Root-Benutzerkonto zu ermöglichen. Dieser Fehler rüstet unautorisierte Benutzer mit Fernzugriff auf den Server aus, mit einem SSH-Fenster mit vollständigen Root-Rechten. Eine Liste bösartiger Aktivitäten, die durch Dirty Pipe ermöglicht werden, umfasst unter anderem: Gewährung von Root-Rechten für neue Konten, Planung eines Cron-Jobs, der als Hintertür läuft, Manipulation eines Skripts oder Binärdatei, die von einem privilegierten Dienst verwendet wird. Diese hoch ausnutzbare Schwachstelle (CVE-2022-0847) erleichtert auch das Hijacken eines SUID-Binärprogramms zur Erstellung einer Root-Shell sowie das Überschreiben von Daten in beliebigen schreibgeschützten Dateien durch unzuverlässige Benutzer. Laut aktuellen Daten sind Geräte, die Android Betriebssystem ausführen, ebenfalls betroffen.

Der CVE-2022-0847-Fehler wurde erstmals in der Linux-Kernel-Version 5.8 entdeckt und blieb über ein Jahr und sechs Monate bestehen, bis er im Februar in den Versionen 5.16.11, 5.15.25 und 5.10.102 behoben wurde.

Da sich Hacks weiterentwickeln, müssen sich Organisationen anpassen. Treten Sie SOC Primes Detection as Code Plattform bei und verbessern Sie Ihre Bedrohungserkennungsfähigkeiten mit der Kraft globaler Cybersicherheitskompetenz. Suchen Sie nach Möglichkeiten, Ihre eigene Erkennungsinhalte beizutragen und die Zusammenarbeit bei der Verteidigung im Cyberraum zu fördern? Schließen Sie sich mit SOC Primes Crowdsourcing-Initiative zusammen, um Ihre Sigma- und YARA-Regeln mit der Community zu teilen, zu einem sichereren Cyberspace beizutragen und wiederkehrende Belohnungen für Ihre Inhalte zu erhalten!

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko