Revelação do Dirty Pipe: Concede Privilégios de Root e Impacta as Versões Mais Recentes do Linux
Índice:
Um novo bug chamado Dirty Pipe (CVE-2022-0847) possibilita escalonamento de privilégios e permite que atacantes obtenham acesso root ao sobrescrever dados em arquivos somente leitura e binários SUID. A fraqueza reside no manuseio falho dos flags do buffer de pipe pelo Kernel do Linux. O nome refere-se a um mecanismo de interação de processos no Linux, chamado de pipeline.
O bug é semelhante ao Dirty Cow, também uma vulnerabilidade de escalonamento de privilégios no Kernel do Linux corrigida em 2016, com a principal diferença de que o novo é mais fácil de explorar.
Detecção de Vulnerabilidade Dirty Pipe
Para detectar o CVE-2022-0847, seja pelo nome do binário ou através do deslocamento comum de “1” sendo passado com diretórios sensíveis que são alvos para escalonamento de privilégios, utilize o seguinte conteúdo de detecção de ameaças:
Possível Execução POC do CVE-2022-0847 Dirty Pipe (via criação_de_processo)
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
A regra está alinhada com a mais recente estrutura MITRE ATT&CK® v.10, abordando a tática de Escalonamento de Privilégios com Exploração para Escalonamento de Privilégios como técnica principal.
Além da regra Sigma acima, você pode usar a regra YARA do nosso desenvolvedor de Threat Bounty de primeira linha, Kaan Yeniyol:
Detectar Ferramenta de Exploração DirtyPipe
Para detectar a vulnerabilidade Dirty Pipe, veja a lista completa de regras disponível no repositório do Threat Detection Marketplace da plataforma SOC Prime. Ansioso para criar suas próprias regras Sigma? Participe do nosso programa Threat Bounty e seja recompensado por sua valiosa contribuição.
Ver Detecções Participe do Threat Bounty
Análise do Dirty Pipe
O ano passado não foi o mais sortudo para o Linux, com várias explorações do Linux vindo à tona. Um bug de elevação de privilégio de alto perfil previamente não documentado, divulgado pelo desenvolvedor de software da IONOS Max Kellermann , envolve a funcionalidade central do kernel do Linux.
No lançamento da exploração PoC Dirty Pipe , Kellermann mostra como explorar a vulnerabilidade para permitir que usuários não privilegiados adicionem uma chave SSH à conta do usuário root. Este bug equipa usuários não autorizados com acesso remoto ao servidor com uma janela SSH com privilégios de root completos. Uma lista de ações maliciosas habilitadas pelo Dirty Pipe inclui: conceder privilégios de root a uma nova conta, agendar uma tarefa cron que atue como backdoor, alterar um script ou binário usado por um serviço privilegiado. Esta vulnerabilidade altamente explorável (CVE-2022-0847) também facilita o sequestro de um binário SUID para criação de shell root, bem como permite que usuários não confiáveis sobrescrevam dados em arquivos somente leitura arbitrários. Segundo dados atuais, dispositivos que executam Android OS também são afetados.
A falha CVE-2022-0847 foi inicialmente descoberta na versão 5.8 do kernel do Linux, persistindo por mais de um ano e meio até ser resolvida em fevereiro, nas versões 5.16.11, 5.15.25 e 5.10.102.
À medida que os ataques evoluem, as organizações devem se adaptar. Junte-se à plataforma Detection as Code da SOC Prime e eleve suas capacidades de detecção de ameaças com o poder da expertise global em cibersegurança. Procura maneiras de contribuir com seu próprio conteúdo de detecção e impulsionar a defesa cibernética colaborativa? Una forças com a iniciativa de crowdsourcing da SOC Prime para compartilhar suas regras Sigma e YARA com a comunidade, contribuir para um ciberespaço mais seguro e receber recompensas recorrentes por seu conteúdo!
