Divulgación de Dirty Pipe: Otorga Privilegios de Root, Afecta las Versiones Más Recientes de Linux

[post-views]
marzo 11, 2022 · 3 min de lectura
Divulgación de Dirty Pipe: Otorga Privilegios de Root, Afecta las Versiones Más Recientes de Linux

Un nuevo error denominado Dirty Pipe (CVE-2022-0847) permite la escalada de privilegios y permite a los atacantes obtener acceso root sobrescribiendo datos en archivos de solo lectura y binarios SUID. La debilidad radica en el manejo defectuoso de las banderas de buffer de tubería por parte del Kernel de Linux. El nombre se refiere a un mecanismo de interacción de procesos de Linux dentro del SO, denominado pipeline.

El error es similar a Dirty Cow, también una vulnerabilidad de escalada de privilegios en el Kernel de Linux corregida en 2016, con la gran diferencia de que la nueva es más fácil de explotar.

Detección de Vulnerabilidad Dirty Pipe

Para detectar CVE-2022-0847 ya sea por el nombre del binario o a través del desplazamiento común de “1” que se pasa con directorios sensibles que son objetivos para la escalada de privilegios, utilice el siguiente contenido de detección de amenazas:

Posible Ejecución de POC de Dirty Pipe CVE-2022-0847 (vía process_creation)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, y AWS OpenSearch.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Escalada de Privilegios con Explotación para Escalada de Privilegios como la técnica principal.

Aparte de la regla Sigma anterior, puedes usar la regla YARA de nuestro desarrollador de Amenazas Bounty de primer nivel Kaan Yeniyol:

Detectar Herramienta de Explotación de Dirty Pipe

Para detectar la vulnerabilidad Dirty Pipe, vea la lista completa de reglas disponible en el repositorio Threat Detection Marketplace de la plataforma de SOC Prime. ¿Ansioso por crear tus propias reglas Sigma? Únete a nuestro programa de Amenazas Bounty y sé recompensado por tu valiosa contribución.

Ver Detecciones Únete a Amenazas Bounty

Análisis de Dirty Pipe

El año pasado no fue el más afortunado para Linux, con numerosos exploits de Linux saliendo a la luz. Un error de elevación de privilegios de alto perfil previamente no documentado en Linux revelado por el desarrollador de software de IONOS Max Kellermann involucra la funcionalidad principal del kernel de Linux.

En el explotación del PoC de Dirty Pipe liberado, Kellermann muestra cómo abusar de la vulnerabilidad para permitir que usuarios no privilegiados agreguen una clave SSH a la cuenta del usuario root. Este error permite a los usuarios no autorizados obtener acceso remoto al servidor con una ventana SSH con privilegios root completos. Una lista de acciones maliciosas habilitadas por Dirty Pipe incluye lo siguiente: otorgar privilegios root a nuevas cuentas, programar un trabajo cron que funcione como una puerta trasera, alterar un script o binario utilizado por un servicio privilegiado. Esta vulnerabilidad altamente explotable (CVE-2022-0847) también facilita el secuestro de un binario SUID para la creación de un shell root, así como permitir que usuarios no confiables sobrescriban datos en archivos de solo lectura arbitrarios. Según los datos actuales, los dispositivos que corren Android OS también se ven afectados.

La falla CVE-2022-0847 se descubrió inicialmente en la versión 5.8 del kernel de Linux, persistiendo por más de un año y medio hasta que se resolvió en febrero, en las versiones 5.16.11, 5.15.25 y 5.10.102.

A medida que los ataques evolucionan, las organizaciones deben adaptarse. Únete a la plataforma Detection as Code de SOC Prime y mejora tus capacidades de detección de amenazas con el poder de la experiencia global en ciberseguridad. ¿Buscas formas de contribuir con tu propio contenido de detección y fomentar la defensa cibernética colaborativa? Únete a la iniciativa de crowdsourcing de SOC Prime para compartir tus reglas Sigma y YARA con la comunidad, contribuir a un ciberespacio más seguro y recibir recompensas recurrentes por tu contenido.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Últimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko