Divulgation de Dirty Pipe : Accordant des privilèges root, impacte les dernières versions de Linux

[post-views]
mars 11, 2022 · 4 min de lecture
Divulgation de Dirty Pipe : Accordant des privilèges root, impacte les dernières versions de Linux

Une nouvelle faille surnommée Dirty Pipe (CVE-2022-0847) permet l’escalade de privilèges et permet aux attaquants d’obtenir un accès root en écrasant des données dans des fichiers en lecture seule et des binaires SUID. La faiblesse réside dans la gestion défectueuse des indicateurs de buffer de pipe par le noyau Linux. Le nom fait référence à un mécanisme de l’interaction des processus avec le système d’exploitation, appelé pipeline.

Le bug est similaire à Dirty Cow, également une vulnérabilité d’escalade de privilèges dans le noyau Linux corrigée en 2016, avec la différence majeure que la nouvelle est plus facile à exploiter.

Détection de la vulnérabilité Dirty Pipe

Pour détecter CVE-2022-0847 soit par le nom binaire soit par l’intermédiaire du décalage commun de « 1 » passant par les répertoires sensibles qui sont des cibles d’escalade de privilèges, utilisez le contenu de détection de menaces suivant :

Exécution possible de CVE-2022-0847 Dirty Pipe POC (via process_creation)

Cette détection dispose de traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro et AWS OpenSearch.

La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’escalade de privilèges avec l’exploitation pour l’escalade de privilèges comme technique principale.

En plus de la règle Sigma ci-dessus, vous pouvez utiliser la règle YARA de notre développeur de Threat Bounty de premier rang, Kaan Yeniyol :

Détecter l’outil d’exploitation DirtyPipe

Pour détecter la vulnérabilité Dirty Pipe, voir la liste complète des règles disponible dans le référentiel de Threat Detection Marketplace de la plateforme SOC Prime. Désireux de créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty et soyez récompensé pour votre précieuse contribution.

Voir les détections Rejoindre Threat Bounty

Analyse de Dirty Pipe

L’année passée n’a pas été la plus chanceuse pour Linux, avec de nombreuses exploitations Linux mises au jour. Un bug d’élévation de privilèges Linux jusqu’alors non documenté et de grande envergure révélé par le développeur de logiciels IONOS Max Kellermann implique une fonctionnalité fondamentale du noyau Linux.

Dans le Dirty Pipe PoC exploit publié, Kellermann montre comment exploiter la vulnérabilité pour permettre aux utilisateurs non privilégiés d’ajouter une clé SSH au compte de l’utilisateur root. Ce bug permet aux utilisateurs non autorisés d’avoir un accès à distance au serveur avec une fenêtre SSH avec tous les privilèges root. Une liste des actions malveillantes permises par Dirty Pipe inclut : l’octroi de privilèges root à un nouveau compte, la planification d’une tâche cron pour fonctionner comme une porte dérobée, la modification d’un script ou binaire utilisé par un service privilégié. Cette vulnérabilité hautement exploitable (CVE-2022-0847) facilite également le détournement d’un binaire SUID pour la création d’un shell root, et permet aux utilisateurs non fiables de remplacer des données dans des fichiers en lecture seule arbitraires. Selon les données actuelles, les appareils fonctionnant sous Android OS sont également affectés.

La faille CVE-2022-0847 a été initialement découverte dans la version 5.8 du noyau Linux, persistant pendant plus d’un an et demi jusqu’à ce qu’elle soit résolue en février, dans les versions 5.16.11, 5.15.25 et 5.10.102.

À mesure que les piratages évoluent, les organisations doivent s’adapter. Rejoignez la plateforme Detection as Code de SOC Prime et améliorez vos capacités de détection des menaces avec la puissance de l’expertise mondiale en cybersécurité. Vous cherchez des moyens de contribuer à votre propre contenu de détection et de promouvoir la cybersécurité collaborative ? Alliez-vous à l’initiative de crowdsourcing de SOC Prime pour partager vos règles Sigma et YARA avec la communauté, contribuer à un cyberespace plus sûr et recevoir des récompenses récurrentes pour votre contenu !

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Blog, Dernières Menaces — 5 min de lecture
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Veronika Telychko
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Blog, Dernières Menaces — 6 min de lecture
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Veronika Telychko