新しいバグであるDirty Pipe(CVE-2022-0847)は特権昇格を可能にし、攻撃者が読み取り専用ファイルやSUIDバイナリを上書きしてrootアクセスを取得できるようにします。この弱点は、Linuxカーネルによるパイプバッファーフラグの処理不良にあります。この名称は、OS内のプロセス間相互作用のLinuxメカニズム、パイプラインに由来します。
このバグは、 Dirty Cowに似ています。これもLinuxカーネルの特権昇格の脆弱性ですが、主な違いは新しいものの方が悪用が容易であることです。
Dirty Pipe脆弱性検出
CVE-2022-0847をバイナリ名または特権昇格のターゲットである敏感なディレクトリに渡される共通のオフセット“1”で検出するには、以下の脅威検出コンテンツを利用します。
可能なCVE-2022-0847 Dirty Pipe POC実行(プロセス作成経由)
この検出には以下のSIEM、EDR & XDRプラットフォームの翻訳があります:Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、SentinelOne、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Microsoft Defender ATP、Securonix、Apache Kafka ksqlDB、Carbon Black、Open Distro、AWS OpenSearch。
このルールは最新のMITRE ATT&CK®フレームワークv.10と整合されており、特権昇格の戦術に対する主な手法として特権昇格のための悪用を扱っています。
上記のSigmaルール以外に、トップクラスのThreat Bounty開発者Kaan YeniyolによるYARAルールを使用することもできます。
Dirty Pipe脆弱性を検出するには、 ルールの完全なリスト をSOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで確認してください。自分のSigmaルールを作成したいですか?私たちのThreat Bountyプログラムに参加し、あなたの貴重な貢献に対して報酬を獲得しましょう。
Dirty Pipeの分析
昨年、Linuxにとっては運が良い年ではありませんでした。多数のLinux悪用が明るみに出ました。IONOSのソフトウェア開発者により公開された以前未記載の高プロファイルな特権昇格Linuxバグが Max Kellermann によって開示され、Linuxカーネルの基本的な機能に関係しています。
公開された Dirty Pipe PoC の悪用では、非特権ユーザーがrootユーザーのアカウントにSSHキーを追加する方法が示されています。このバグを利用すると、未承認のユーザーがSSHウィンドウ付きでサーバーにフルroot特権でリモートアクセスすることが可能です。Dirty Pipeによって可能な悪意のある操作リストには、新しいアカウントへのroot特権付与、バックドアとして動作するcronジョブのスケジューリング、特権サービスによって使用されるスクリプトまたはバイナリの改ざんが含まれます。この非常に悪用しやすい脆弱性(CVE-2022-0847)は、rootシェル作成のためのSUIDバイナリのハイジャックも促進し、信頼されていないユーザーが任意の読み取り専用ファイルのデータを上書きできるようにもします。現在のデータによれば、 Android OS を実行しているデバイスも影響を受けています。
CVE-2022-0847の欠陥は、初めはLinuxカーネルのバージョン5.8で発見され、1年半以上続いた後、2月にバージョン5.16.11、5.15.25、5.10.102で解決されました。
ハッキングが進化するにつれて、組織は適応しなければなりません。 SOC PrimeのDetection as Codeプラットフォーム に参加し、世界的なサイバーセキュリティの専門知識の力であなたの脅威検出能力をレベルアップしましょう。独自の検出コンテンツを提供し、共同サイバー防御を推進する方法を探していますか?コミュニティとともにあなたのSigmaおよびYARAルールを共有し、安全なサイバースペースに貢献し、コンテンツのための定期的な報酬を受ける SOC Primeのクラウドソーシングイニシアチブ に参加しましょう!
