Onlangs werd het nieuws vrijgegeven op het netwerk van de ontdekking van een nieuwe kwetsbaarheid in linux die vermeld staat als van "Hoge ernst" die van invloed is op alle kernels sinds versie 5.8, evenals derivaten, waaronder Android.
Bekend als Dirty Pipe zorgt ervoor dat gegevens kunnen worden overschreven in alleen-lezen bestanden en kan leiden tot escalatie van bevoegdheden door code in rootprocessen te injecteren.
Hoewel het al in de belangrijkste Linux-kernel is gepatcht, kan de bug worden gebruikt als wapen in de vorm van een privilege-escalatie-exploit op alle apparaten met Linux-kernelversie 5.8 of hoger.
Het betekent ook dat een aantal nieuw uitgebrachte Android-smartphones, zoals de Samsung Galaxy S22 en Google Pixel 6, ook kwetsbaar zijn, totdat elk apparaat de juiste kernelpatch ontvangt van de respectievelijke OEM.
Over vuile pijp
De kwetsbaarheid was onthuld door beveiligingsonderzoeker Max Kellerman en gecatalogiseerd als (CVE-2022-0847), duurde het een paar maanden om een proof-of-concept exploit te vinden.
Door de kwetsbaarheid kan een onbevoegde gebruiker gegevens in alleen-lezen bestanden injecteren en overschrijven, inclusief SUID-processen die als root worden uitgevoerd. De informele bijnaam lijkt een spel te zijn met de beruchte bug Vuile koe en een Linux-mechanisme genaamd pijplijn voor het doorgeven van berichten tussen processen, aangezien de laatste wordt gebruikt tijdens de exploit-routine.
Het begon allemaal een jaar geleden met een supportticket in verband met corrupte bestanden. Een klant klaagde dat gedownloade toegangslogboeken niet konden worden uitgepakt. En inderdaad, er was een beschadigd logbestand op een van de logservers; het kan ongecomprimeerd zijn, maar gzip rapporteerde een CRC-fout. Ik kon niet uitleggen waarom het beschadigd was, maar ik nam aan dat het nachtelijke splitsingsproces was gecrasht en een beschadigd bestand had opgeleverd. Ik corrigeerde handmatig de CRC van het bestand, sloot het ticket en vergat het probleem al snel.
Na maanden van analyse, de onderzoeker ontdekte uiteindelijk dat de corrupte clientbestanden het resultaat waren van een bug in de Linux-kernel. Hij vond een manier om Dirty Pipe te misbruiken om iedereen met een account, inclusief minder bevoorrechte "niemand"-accounts, in staat te stellen een SSH-sleutel toe te voegen aan het account van de rootgebruiker.
Om de kwetsbaarheid te activeren, deelde Kellerman zijn proof of concept, de aanvaller moet leesrechten hebben. Scrollen mag ook niet op een paginagrens plaatsvinden, schrijven mag een paginagrens niet overschrijden en het formaat van het bestand kan niet worden gewijzigd.
Om dit beveiligingslek te misbruiken, moet u: een pijplijn maken, de pijplijn vullen met willekeurige gegevens (om de vlag PIPE_BUF_FLAG_CAN_MERGE in te stellen op alle ringingangen), de pijplijn leegmaken (de vlag laten staan op alle instanties van de pipe_bufferstructuur in de pipe_inode_info ringstructuur), de gegevens uit het doelbestand (geopend met O_RDONLY) samenvoegen in de pijp net voor de doeloffset, en willekeurige gegevens naar de pijp schrijven.
Dirty Pipe is ook van invloed op elke versie van Android die is gebaseerd op een van de kwetsbare versies van de Linux-kernel. Omdat Android zo gefragmenteerd is, kunnen de betrokken apparaatmodellen niet uniform worden gevolgd.
Volgens Kellerman, Google heeft vorige maand zijn bugfixes samengevoegd in de Android-kernel, direct nadat het was opgelost met de release van Linux-kernelversies 5.16.11, 5.15.25 en 5.10.102.
Dat gezegd hebbende, zullen we waarschijnlijk een tijdje moeten wachten voordat OEM's beginnen met het uitrollen van Android-updates die de oplossing bevatten. Google's Pixel 6 is bijvoorbeeld nog steeds kwetsbaar, maar ervaren gebruikers kunnen de fout verhelpen door een gepatchte aangepaste aftermarket-kernel te installeren als een terugvaloptie.
Linux-kernelontwikkelaars hebben op 5.16.11 februari fixes (5.15.25, 5.10.102, 23) uitgebracht, terwijl Google de Android-kernel op 24 februari heeft gepatcht. Kellermann en andere experts vergeleken kwetsbaarheid met CVE-2016-5195 "Vuile koe" en ze zeiden dat het nog gemakkelijker te exploiteren is.
Als u er tenslotte meer over wilt weten, kunt u de details raadplegen In de volgende link.