Relazione Dirty Pipe: Fornisce Privilegi di Root, Impatta le Ultime Versioni di Linux
Indice:
Un nuovo bug denominato Dirty Pipe (CVE-2022-0847) consente l’escalation dei privilegi e permette agli attaccanti di ottenere l’accesso root sovrascrivendo dati in file di sola lettura e binari SUID. La debolezza risiede nella gestione difettosa delle pipe buffer flags da parte del Kernel Linux. Il nome si riferisce a un meccanismo Linux di interazione dei processi all’interno del sistema operativo, chiamato pipeline.
Il bug è simile a Dirty Cow, anch’esso una vulnerabilità di escalation dei privilegi nel Kernel Linux risolta nel 2016, con la principale differenza che quella nuova è più facile da sfruttare.
Rilevamento della vulnerabilità Dirty Pipe
Per rilevare CVE-2022-0847 tramite il nome del binario o attraverso l’offset comune di “1” passato con directory sensibili che sono obiettivi per l’escalation dei privilegi, utilizza il seguente contenuto di rilevamento delle minacce:
Possibile Esecuzione POC Dirty Pipe CVE-2022-0847 (via process_creation)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, e AWS OpenSearch.
La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Privilege Escalation con lo sfruttamento per Escalation dei Privilegi come tecnica principale.
Oltre alla regola Sigma sopra, puoi usare la regola YARA sviluppata dal nostro sviluppatore di punta Threat Bounty Kaan Yeniyol:
Rileva Strumento di Sfruttamento DirtyPipe
Per rilevare la vulnerabilità Dirty Pipe, consulta la lista completa delle regole disponibile nel repository Threat Detection Marketplace della piattaforma SOC Prime. Vuoi creare le tue regole Sigma? Unisciti al nostro programma Threat Bounty e ricevi ricompense per il tuo prezioso contributo.
Visualizza Rilevamenti Unisciti a Threat Bounty
Analisi del Dirty Pipe
L’anno passato non è stato il più fortunato per Linux, con numerosi exploit Linux venuti alla luce. Un bug Linux ad elevazione di privilegi di alto profilo precedentemente non documentato svelato da un sviluppatore software di IONOS Max Kellermann coinvolge la funzionalità core del kernel Linux.
Nell’exploit Dirty Pipe PoC rilasciato, Kellermann mostra come abusare della vulnerabilità per permettere a utenti non privilegiati di aggiungere una chiave SSH all’account utente root. Questo bug equipaggia gli utenti non autorizzati con accesso remoto al server con una finestra SSH con privilegi di root completi. Un elenco di azioni malevole abilitate da Dirty Pipe include: garantire privilegi root a nuovi account, programmare un cron job che agisce come backdoor, alterare uno script o un binario utilizzato da un servizio privilegiato. Questa vulnerabilità altamente sfruttabile (CVE-2022-0847) facilita anche il dirottamento di un binario SUID per la creazione di una shell root, nonché permette a utenti non fidati di sovrascrivere dati in file di sola lettura arbitrari. Secondo i dati attuali, i dispositivi che eseguono Android OS sono anch’essi affetti.
La falla CVE-2022-0847 è stata inizialmente scoperta nella versione del kernel Linux 5.8, persistendo per oltre un anno e mezzo fino a quando è stata risolta a febbraio, nelle versioni 5.16.11, 5.15.25 e 5.10.102.
Mano a mano che gli hack evolvono, le organizzazioni devono adattarsi. Unisciti alla piattaforma Detection as Code di SOC Prime e migliora le tue capacità di rilevamento delle minacce con la potenza dell’expertise globale sulla cybersecurity. Stai cercando modi per contribuire con il tuo contenuto di rilevamento e promuovere una difesa cibernetica collaborativa? Unisci le forze con l’iniziativa di crowdsourcing di SOC Prime per condividere le tue regole Sigma e YARA con la comunità, contribuire a uno spazio cibernetico più sicuro e ricevere ricompense ricorrenti per il tuo contenuto!
