Dirty Pipe, falla en Linux que permite obtener privilegios de root

El investigador Max Kellermann descubrió una falla de seguridad en Linux, denominada “Dirty Pipe”, la cual fue catalogada como CVE-2022-0847, que permitiría a los usuarios locales obtener privilegios de root en todas las distribuciones afectadas.

Lo anterior, debido a una corrupción observada en el CRC de archivos del tipo comprimido “GZIP”, cuyos bytes de comprobación no corresponderían al archivo manejado, sino a alguno con “naturaleza” diferente al procesado (por ejemplo, del tipo ZIP).

Esto, en un ambiente de operación normal donde se construyen “pipes” para la entrada y salida de datos, se traduciría en la sobreescritura premeditada de archivos de la clase comprimida y que se puedan pasar de un “extremo a otro” (por ejemplo, desde un proceso hacia memoria o desde memoria hacia procesador), en el que se inyectaría código que permitiría la manipulación de programas o el sistema, sin necesidad de permisos especiales adicionales para la manipulación de archivos donde se alojan contraseñas y perfiles.

CVE-2022-0847 [CVSS 3.1 de 7.8]
Permite a usuarios locales obtener privilegios de root en todas las distribuciones principales

Esta vulnerabilidad permite sobrescribir datos en archivos arbitrarios de solo lectura, lo que puede llevar a provocar una escalada de privilegios, esto porque los procesos sin privilegios pueden inyectar código en los procesos raíz. Esta vulnerabilidad afecta a Linux Kernel 5.8 y versiones posteriores.

Esta vulnerabilidad es similar a la publicada hace algún tiempo atrás CVE-2016-5195, catalogada como “Dirty Cow”, sin embargo, “Dirty Pipe” es más fácil de explotar, de acuerdo a lo indicado por Kellermann.

La problemática está en que hemos evidenciado que la vulnerabilidad DirtyCow es altamente comercializada en mercados negros underground, manteniéndose dentro del top 12 de CVE más explotadas durante 2021

El investigador Max Kellermann, también publicó detalles técnicos sobre la falla de Dirty Pipe, junto con un exploit de prueba de concepto (PoC), el cual permitiría a los usuarios locales sobreescribir cualquier contenido de archivo en el caché de la página, incluso si el archivo no puede escribirse, ser inmutable o en un montaje de solo lectura.

En un Tweet publicado por el investigador de seguridad  Phith0n ,  se explica que es posible usar el exploit para modificar el archivo / etc / passwd para configurar el usuario root sin contraseña. Usando estos pasos, un usuario sin privilegios podría ejecutar el comando 'su root' para obtener acceso a la cuenta raíz.

Fuente: https://twitter.com/phithon_xg/status/1500902906916081666?s=20&t=vMGjEVARriw-ZRjqVR91sQ

A través de su cuenta en Github, el usuario @arinerron disponibiliza una POC, la cual sobreescribe el archivo / etc / password.

POC Dirty Pipe en Github (@arinerron)

Línea de tiempo (Max Kellermann)

• 29-04-2021:Se crea primer ticket de soporte sobre corrupción de archivos.
• 19-02-2022:Este problema de corrupción de archivos se identifica como error del kernel de Linux, el cual resultó ser una vulnerabilidad explotable.
• 20-02-2022: El informe de errores, exploits y parches es enviado al equipo de seguridad del kernel de Linux.
• 21-02-2022: Este error es reproducido en Google Pixel 6; por lo cual un informe de error se envía al equipo de seguridad de Android.
• 21-02-2022: Se envía el parche a LKML (sin detalles de vulnerabilidad) según lo sugerido por Linus Torvalds, Willy Tarreau y Al Viro.
• 23-02-2022: Se lanzan versiones estables de Linux con corrección de errores (5.16.11, 5.15.25, 5.10.102).
• 24-02-2022: Google corrige errores en el kernel de Android.
• 28-02-2022: Se realiza notificación a la lista de correo linux-distros.
• 07-03-2022:Se realiza la divulgación pública de esta vulnerabilidad.

Dispositivos QNAP

Actualmente existe un parche para la falla de seguridad, con las versiones de kernel de Linux 5.16.11, 5.15.25 y 5.10.102, QNAP dice que sus clientes tendrán que esperar hasta que la compañía publique sus propias actualizaciones de seguridad.

"Si se explota, esta vulnerabilidad permite que un usuario sin privilegios obtenga privilegios de administrador e inyecte código malicioso ``. ”Actualmente no hay mitigación disponible para esta vulnerabilidad. Recomendamos a los usuarios que vuelvan a consultar e instalen las actualizaciones de seguridad tan pronto como estén disponibles". Explicó QNAP en un aviso de seguridad.

Esta vulnerabilidad afecta a los dispositivos NAS que ejecutan la versión de kernel 5.10.60.

QNAP informó que el error afecta a los dispositivos que ejecutan QTS 5.0.x y QuTS hero h5.0.x, incluidos:

• QTS 5.0.x en todos los NAS basados ​​en x86 de QNAP y ciertos NAS basados ​​en ARM de QNAP
• QuTS hero h5.0.x en todos los NAS basados ​​en x86 de QNAP y ciertos NAS basados ​​en ARM de QNAP

Objeto complementar esta información, la lista completa de todos los modelos afectados se encuentra en la lista de kernel en la entrada "Kernel Version 5.10.60".

A su vez QNAP agregó que ninguno de sus dispositivos NAS que ejecutan QTS 4.x se ven afectados, ni son vulnerables a los ataques.

Una de las principales recomendaciones de QNAP mientras se trabaja en un parche para abordar la vulnerabilidad de Dirty Pipe, es asegurarse de que los dispositivo NAS no estén expuestos hacia internet, objeto evitar ataques y poder así bloquear los intentos de obtener acceso local hacia el dispositivo NAS.

También QNAP proporciona pasos detallados sobre cómo desactivar las conexiones SSH y Telnet y cambiar el número de puerto del sistema, cambiar las contraseñas del dispositivo y habilitar la protección de IP y acceso a la cuenta.
 

Proceso de explotación

Para poder ejecutar la explotación de “Dirty Pipe”, es necesario considerar que el atacante debe tener acceso local a la máquina o sistema vulnerable y a lo menos poseer permisos de lectura, entre otros “requisitos”.

Los “pasos” necesarios consideran inicializar un “pipe”, el que debería ser “inundado” con datos arbitrarios, para finalmente, sobre escribir alguna página del archivo en caché con alguna función previamente configurada por el atacante.

Explotación de “Dirty Pipe” - Fuente: https://twitter.com/bl4sty/status/1500822440569708545/photo/1

Impacto

Muchas de las distribuciones y soluciones OT, como aquellas relacionadas a tecnologías móviles, basadas en la nube y que brindan servicios web y de almacenamiento, podrían ser directamente afectadas por las vulnerabilidades mencionadas.

De acuerdo a lo anterior, el proveedor de hardware taiwanés QNAP advierte que la mayoría de sus dispositivos de almacenamiento conectado a la red (NAS), se verían afectados por 'Dirty Pipe'.

La vulnerabilidad es lo suficientemente grave como una más antigua revelada en 2016, Dirty COW (CVE-2016-5195), que ha sido explotada activamente por actores maliciosos, cuya baja complejidad de ejecución es comparable con “Dirty Pipe”.

OTRAS VULNERABILIDADES IMPORTANTES

CVE-2022-26967

La vulnerabilidad CVE-2022-26967, comunicada el 12 de marzo, catalogada como “buffer overflow” sobre sistemas Linux, cuya manipulación afecta directamente la herramienta de línea de comandos para edición multimedia, específicamente la librería MPEG4, con la cual un atacante podría ejecutar código en el sistema vulnerable (inyección de código hacia el heap). Al día de hoy, esta vulnerabilidad aún se encuentra en evaluación de severidad e impacto.

Valor aproximado exploit para esta vulnerabilidad - Fuente: https://vuldb.com/es/?id.194834

CVE-2022-26966

El 12 de marzo, se descubrió un problema en el kernel de Linux para versiones anteriores a 5.16.12., la que permite a los atacantes obtener información confidencial directamente desde la memoria heap, a través de longitudes de marco manipuladas desde un dispositivo USB. Esta vulnerabilidad está catalogada como CVE-2022-26966 y se encuentra en evaluación de severidad e impacto.

Valor aproximado exploit para esta vulnerabilidad - Fuente: https://vuldb.com/?id.194831

CVE-2022-25636

Para la vulnerabilidad CVE-2022-25636, comunicada el 24 de febrero de 2022, afecta las versiones del kernel de Linux desde 5.4 a 5.6.10, y permite a los usuarios locales con una cuenta disponible, obtener privilegios debido a una escritura fuera de los límites del heap, lo que provoca un bloqueo del sistema o una amenaza de escalada de privilegios.

Valor aproximado exploit para esta vulnerabilidad - https://vuldb.com/?id.193698

Dada la evidencia de las investigaciones que relacionan a cada una de las vulnerabilidades comunicadas, el volumen de vulnerabilidades que afectan a sistemas Linux ha tenido un importante crecimiento, por cuanto se debe considerar que más del 60% del tráfico web en el planeta es soportado por este sistema operativo.

Cabe mencionar que los fallos comunicados de manera responsable, deben ser una alerta para las organizaciones por cuanto las amenazas detalladas como “de ejecución interna”, no necesariamente deben ser llevadas a cabo por “insiders”, tomando en cuenta que dentro de las etapas para una consolidación exitosa del objetivo por parte de un atacante, existe un “paso” que recopila la cantidad de herramientas necesarias para concretar este propósito.

Dicho lo anterior, un atacante no necesariamente debe estar “dentro” de la organización para explotar de forma exitosa alguna de las vulnerabilidades objeto de este boletín, a lo que se puede indicar como ejemplo, el uso de una de estas vulnerabilidades como etapa de “post explotación”, una vez ganado el acceso a la red de la organización.

En aspectos técnicos relacionados a lo anterior, cualquiera de estas debilidades reportadas, en combinación con otras que pudieran ser detectadas en las etapas previas al ataque, finalizarían con una operación “exitosa” y, lamentablemente, con el compromiso de uno o más sistemas vulnerables.

Considerando los puntos anteriores y la criticidad de cada una de estas vulnerabilidades / fallos, el llamado es siempre a mantener los sistemas actualizados, teniendo como guía para ello las recomendaciones que son emitidas en este boletín.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.