CVE-2022-0847 — уязвимость Dirty Pipe в ядре Linux

На прошлой неделе исследователь Макс Келлерманн (Max Kellermann) обнаружил в ядре Linux уязвимость высокой степени опасности, получившую идентификатор CVE-2022-0847. Она затрагивает все версии ядра Linux от 5.8 до 5.16.11, 5.15.25 и 5.10.102 и может использоваться для локального повышения привилегий. Уязвимость связана с реализацией конвейера, который обеспечивает одностороннюю коммуникацию между процессами. Хотя она исправлена в последних версиях ядра Linux и мы не наблюдаем ее массовой эксплуатации на текущий момент, в Сети доступно ее подробное описание и рабочий эксплойт, что увеличивает риск использования уязвимости злоумышленниками.

Продукты «Лаборатории Касперского» обнаруживают попытки эксплуатации Dirty Pipe со следующими вердиктами:

• HEUR:Exploit.Linux.CVE-2022-0847.a
• HEUR:Exploit.Linux.CVE-2022-0847.b
• HEUR:Exploit.Linux.CVE-2022-0847.с
• HEUR:Exploit.Linux.CVE-2022-0847.gen

Технические детали уязвимости Dirty Pipe

С помощью этой уязвимости непривилегированный локальный пользователь может модифицировать содержимое кэша страниц памяти, связанных с файлами, доступными только для чтения, и таким образом повышать свои привилегии в системе. Уязвимость возникает из-за использования частично неинициализированной памяти в структуре буфера конвейера во время его построения. Отсутствие нулевой инициализации нового члена структуры приводит к использованию устаревшего значения флагов. Злоумышленники могут воспользоваться этим для получения доступа на запись к страницам памяти в кэше, даже если эти страницы были изначально помечены атрибутом «Только для чтения».

Существует множество способов получения злоумышленниками привилегии суперпользователя с помощью этой уязвимости — например, через несанкционированное создание новых заданий cron, подмену исполняемых файлов с правами SUID, модификации /etc/passwd и т. п.

Работоспособная версия эксплойта к Dirty Pipe уже доступна на различных сайтах и в репозиториях, связанных с безопасностью, и может применяться злоумышленниками в различных атаках.

Противодействие эксплуатации Dirty Pipe

Чтобы защитить корпоративную инфраструктуру от этой и других подобных угроз:

• Применяйте все необходимые обновления безопасности по мере их поступления. Уязвимость CVE-2022-0847 исправлена в версиях 5.16.11, 5.15.25, 5.10.102 ядра Linux и более свежих.
• Используйте решение безопасности, которое предоставляет компоненты для управления уязвимостями, а также защитные решения для Linux, такие как Kaspersky Endpoint Security для Linux.
• Используйте последнюю информацию об угрозах, чтобы быть в курсе реальных TTP, используемых злоумышленниками.

IOC (MD5-хеши эксплойтов к CVE-2022-0847)

ebc8f0556e031a0b1180cfdfe6bf6e03

c3662a101db6bd9edec35767c7b85741