L'ANALISI TECNICA

Dirty Pipe, la vulnerabilità che consente di prendere il controllo delle distro Linux

È stata ribattezzata Dirty Pipe la vulnerabilità nel kernel Linux che può consentire a un utente locale malintenzionato di ottenere privilegi di root e prendere il controllo completo di tutte le principali distribuzioni. L’exploit è già disponibile, per cui è necessario adottare subito le misure di mitigazione

09 Mar 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Soprannominato Dirty Pipe dallo sviluppatore di software Max Kellermann di IONOS, il difetto di sicurezza identificato come CVE-2022-0847 consentirebbe agli utenti locali di ottenere i privilegi di root tramite un exploit reso disponibile online che coinvolgerebbe le principali distribuzioni Linux.

Tale vulnerabilità, se sfruttata, potrebbe consentire a un utente locale di elevare i propri privilegi sui sistemi interessati e, di conseguenza, prenderne il controllo.

Aggiornamento 15 marzo 2022. La vulnerabilità interesserebbe anche alcuni dispositivi NAS prodotti da QNAP. “È stato segnalato che la vulnerabilità di escalation dei privilegi locali Dirty Pipe interessa il kernel Linux su QNAP NAS che esegue QTS 5.0.xe QuTS hero h5.0.x”, ha affermato la società taiwanese in un suo comunicato ufficiale. “Se sfruttata, questa vulnerabilità consente a un utente senza privilegi di ottenere privilegi di amministratore e iniettare codice dannoso”, prosegue la nota. “Attualmente non è disponibile alcuna mitigazione per questa vulnerabilità. Raccomandiamo agli utenti di ricontrollare e installare gli aggiornamenti di sicurezza non appena diventano disponibili”. Nessuno tra questi dispositivi QNAP sarebbe immune alla vulnerabilità Dirty Pipe.

Inoltre, sfruttando Dirty Pipe si riuscirebbe pure a ottenere i permessi di root su due telefoni aggiornati alle ultime patch di sicurezza: un Samsung Galaxy S22 e un Pixel 6 Pro. A tal proposito, l’utente Fire30 ha pubblicato un video dimostrativo in un tweet.

Anche Linux è vulnerabile, non scordiamocelo mai

I dettagli della vulnerabilità Dirty Pipe

La vulnerabilità rilevata e che colpisce il kernel Linux 5.8 e versioni successive, anche su dispositivi Android, secondo quanto riportato dallo stesso Kellermann sarebbe stata scoperta durante un intervento di assistenza al server Web di un proprio cliente.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy

Solo in seguito Kellerman avrebbe rilasciato un exploit Proof-of-Concept (PoC) dimostrando così la possibilità di consentire a utenti locali di inserire dati in file di sola lettura, rimuovendo restrizioni e garantendo un accesso privilegiato arbitrario.

“È possibile sovrascrivere la cache della pagina anche in assenza di writer, senza vincoli di tempo, in posizioni (quasi) arbitrarie con dati arbitrari[…]. Per rendere questa vulnerabilità più interessante, non solo funziona senza permessi di scrittura, ma funziona anche con file immutabili, su snapshot btrfs di sola lettura e su mount di sola lettura (inclusi i mount di CD-ROM). Questo perché la cache della pagina è sempre scrivibile (dal kernel) e la scrittura su una pipe non controlla mai i permessi”, si legge sul blog.

Una pipeline software, lo ricordiamo, consente una comunicazione unidirezionale tra processi in cascata in cui l’output di uno rappresenta l’input del successivo.

Questa vulnerabilità sarebbe pertanto sfruttabile durante le fasi di creazione e scrittura di una pipeline.

Altri modi di sfruttamento dell’exploit

Come riportato da Bleepingcomputer, sono poi seguite delle dimostrazioni divulgate tramite post dai ricercatori di sicurezza Phith0n e BLASTY, rispettivamente su come sfruttare l’exploit:

  • per modificare il file /etc/passwd in modo da eliminare la password all’utente root;
  • per assegnare invece semplicemente i privilegi di root ad un utente normale applicando una patch al comando/usr/bin/su.

Kellerman ha affermato anche che Dirty Pipe sarebbe simile alla vecchia vulnerabilità nota come Dirty COW (CVE-2016-5195) già risolta nel 2016.

Attività di mitigazione

Sebbene la vulnerabilità sia stata divulgata responsabilmente a partire dal 20 febbraio 2022 a vari sviluppatori Linux, inclusi il team di sicurezza del kernel Linux e il team di sicurezza Android, il bug è stato sanato per adesso solo per i kernel Linux 5.16.11, 5.15.25 e 5.10.102, pertanto molti server continuano ad essere esposti, rendendo il rilascio di questo exploit un serio problema per gli amministratori di sistema soprattutto per la sua semplicità di sfruttamento.

A tal proposito il CSIRT Italia consiglia, ove non già provveduto, di aggiornare quanto prima i sistemi operativi interessati stimando un impatto sulla comunità di riferimento di livello ALTO/ARANCIONE.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2