Dirty Pipe 공개: 루트 권한 부여, 최신 리눅스 버전에 영향
목차:
새로운 버그인 Dirty Pipe(CVE-2022-0847)는 권한 상승을 가능하게 하고 데이터가 읽기 전용 파일 및 SUID 바이너리를 덮어쓰게 하여 공격자가 루트 권한을 얻을 수 있게 합니다. 이 취약점은 Linux 커널의 파이프 버퍼 플래그를 잘못 처리하는 데서 비롯됩니다. 이 이름은 OS 내의 프로세스 상호작용 메커니즘인 파이프라인을 지칭합니다.
이 버그는 Dirty Cow와 유사하며, 이는 2016년에 패치된 Linux 커널의 권한 상승 취약점입니다. 이번 새로운 것이 더 쉽게 악용될 수 있다는 점이 주요 차이점입니다.
Dirty Pipe 취약점 탐지
CVE-2022-0847를 바이너리 이름으로 탐지하거나 권한 상승의 목표가 되는 민감한 디렉토리에 ‘1’을 전달하는 공통 오프셋을 통해 탐지하려면, 다음 위협 탐지 콘텐츠를 사용하세요:
CVE-2022-0847 Dirty Pipe POC 실행 가능성(프로세스 생성 경유)
이 탐지는 다음의 SIEM, EDR 및 XDR 플랫폼의 번역본을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, 그리고 AWS OpenSearch.
이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 권한 상승 전술과 권한 상승을 위한 악용을 기본 기술로 다룹니다.
위의 Sigma 규칙 이외에도, 최고급 위협 현상금 개발자인 Kaan Yeniyol의 YARA 규칙을 사용할 수 있습니다:
Dirty Pipe 취약점을 탐지하려면, 전체 규칙 목록 SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에서 확인하세요. 당신만의 Sigma 규칙을 만들고 싶으신가요? 저희 Threat Bounty 프로그램에 참여하여 귀중한 기여에 대한 보상을 받으세요.
Dirty Pipe 분석
지난 해는 Linux에게 그리 운이 좋은 해는 아니었습니다. 수많은 Linux 익스플로잇이 드러났습니다. IONOS 소프트웨어 개발자인 Max Kellermann 에 의해 공개된 이전에 문서화되지 않은 고위 프로필 권한 상승 Linux 버그는 핵심 Linux 커널 기능과 관련이 있습니다.
출시된 Dirty Pipe PoC 익스플로잇에서, Kellermann은 비권한 사용자에게 루트 사용자의 계정에 SSH 키를 추가할 수 있게 하는 버그를 악용하는 방법을 보여줍니다. 이 버그는 신원을 확인받지 않은 사용자가 전체 루트 권한을 가진 SSH 창으로 서버에 원격 접속을 할 수 있도록 합니다. Dirty Pipe로 인해 가능한 악성 행동 목록은 다음을 포함합니다: 새로운 계정에 루트 권한 부여, 백도어로 실행되는 크론 작업 일정, 특권 서비스에 의해 사용되는 스크립트 또는 바이너리 변경. 이 매우 악용 가능한 취약점(CVE-2022-0847)은 루트 쉘 생성을 위한 SUID 바이너리 하이재킹뿐 아니라 신뢰할 수 없는 사용자가 임의의 읽기 전용 파일의 데이터를 덮어쓰게 하는 것을 쉽게 합니다. 현재 데이터에 따르면, Android OS 를 실행하는 기기들도 영향을 받습니다.
CVE-2022-0847 결함은 처음에 Linux 커널 버전 5.8에서 발견되었으며, 1년 반 이상 지속되다가 2월에 버전 5.16.11, 5.15.25 및 5.10.102에서 해결되었습니다.
해킹이 진화함에 따라, 조직은 적응해야 합니다. 에 가입하세요. SOC Prime의 Detection as Code 플랫폼 에 가입하시고, 글로벌 사이버 보안 전문 지식의 힘을 통해 위협 탐지 기능을 강화하세요. 자신의 탐지 콘텐츠를 기여하고 공동 사이버 방어를 추진할 방법을 찾고 계신가요? 의 SOC Prime의 크라우드소싱 이니셔티브 와 힘을 합쳐, 커뮤니티와 Sigma 및 YARA 규칙을 공유하고, 더 안전한 사이버 공간에 기여하며, 콘텐츠에 대한 정기적인 보상을 받으세요!
