Linux-distributies zijn bezig met het uitgeven van patches om een nieuw onthuld beveiligingslek in de kernel aan te pakken, waardoor een aanvaller willekeurige gegevens in alleen-lezen bestanden kan overschrijven en een volledige overname van de getroffen systemen mogelijk maakt.
nagesynchroniseerd “vuile pijp” (CVE-2022-0847, CVSS-score: 7,8) door IONOS-softwareontwikkelaar Max Kellermann, leidt de fout “tot escalatie van bevoegdheden omdat niet-bevoorrechte processen code in rootprocessen kunnen injecteren.”
Kellerman zei dat de bug werd ontdekt nadat hij zich had verdiept in een ondersteuningsprobleem dat werd gemeld door een van de klanten van de cloud- en hostingprovider en die betrekking had op een geval van een “verrassende vorm van corruptie” die de toegangslogboeken van webservers aantastte.
Er wordt gezegd dat de Linux-kernelfout sindsdien heeft bestaan versie 5.8waarbij de kwetsbaarheid overeenkomsten vertoont met die van Dirty Cow (CVE-2016-5195), die in oktober 2016 aan het licht kwam.
“Er is een fout gevonden in de manier waarop het ‘flags’-lid van de nieuwe pipe-bufferstructuur de juiste initialisatie miste in de functies copy_page_to_iter_pipe en push_pipe in de Linux-kernel en dus oude waarden kan bevatten,” legde Red Hat uit in een advies dat maandag werd gepubliceerd.
“Een niet-bevoorrechte lokale gebruiker zou deze fout kunnen gebruiken om naar pagina’s in de paginacache te schrijven die worden ondersteund door alleen-lezen bestanden en als zodanig hun privileges op het systeem escaleren”, voegde het eraan toe.
Pijp, kort voor pijpleidingis een unidirectioneel communicatiemechanisme tussen processen waarin een reeks processen aan elkaar zijn geketend, zodat elk proces input van het vorige proces krijgt en output produceert voor het volgende proces.
Om de zwakte te benutten, moeten de volgende stappen worden uitgevoerd: een pijp maken, de pijp vullen met willekeurige gegevens, de pijp leegmaken, gegevens uit het alleen-lezen doelbestand splitsen en willekeurige gegevens in de pijp schrijven, schetste Kellerman in een proof-of- concept (PoC) exploiteren die de fout aantoont.
Simpel gezegd; het beveiligingslek is een hoog risico omdat het een aanvaller in staat stelt een aantal kwaadaardige acties op het systeem uit te voeren, waaronder het knoeien met gevoelige bestanden zoals /etc/passwd om het wachtwoord van een rootgebruiker te verwijderen, SSH-sleutels toe te voegen voor toegang op afstand en zelfs willekeurige binaire bestanden met de hoogste privileges uit te voeren.
“Om deze kwetsbaarheid interessanter te maken, werkt het niet alleen zonder schrijfrechten, het werkt ook met onveranderlijke bestanden, op alleen-lezen btrfs snapshots en op read-only mounts (inclusief CD-ROM mounts),’ zei de onderzoeker. “Dat komt omdat de paginacache altijd beschrijfbaar is (door de kernel), en schrijven naar een pipe controleert nooit de permissies.”
Het probleem is opgelost in Linux-versies 5.16.11, 5.15.25 en 5.10.102 vanaf 23 februari 2022, drie dagen nadat het werd gemeld aan het Linux-kernelbeveiligingsteam. Google heeft van zijn kant de correcties samengevoegd in de Android-kernel op 24 februari 2022.
Gezien het gemak waarmee de beveiligingsfout kan worden misbruikt en de release van de PoC-exploit, wordt aanbevolen dat gebruikers Linux-servers onmiddellijk bijwerken en van toepassing zijn de pleisters voor ander distributies zodra ze beschikbaar zijn.
