Инциденты

CVE-2022-0847 — уязвимость Dirty Pipe в ядре Linux

На прошлой неделе исследователь Макс Келлерманн (Max Kellermann) обнаружил в ядре Linux уязвимость высокой степени опасности, получившую идентификатор CVE-2022-0847. Она затрагивает все версии ядра Linux от 5.8 до 5.16.11, 5.15.25 и 5.10.102 и может использоваться для локального повышения привилегий. Уязвимость связана с реализацией конвейера, который обеспечивает одностороннюю коммуникацию между процессами. Хотя она исправлена в последних версиях ядра Linux и мы не наблюдаем ее массовой эксплуатации на текущий момент, в Сети доступно ее подробное описание и рабочий эксплойт, что увеличивает риск использования уязвимости злоумышленниками.

Продукты «Лаборатории Касперского» обнаруживают попытки эксплуатации Dirty Pipe со следующими вердиктами:

  • HEUR:Exploit.Linux.CVE-2022-0847.a
  • HEUR:Exploit.Linux.CVE-2022-0847.b
  • HEUR:Exploit.Linux.CVE-2022-0847.с
  • HEUR:Exploit.Linux.CVE-2022-0847.gen

Технические детали уязвимости Dirty Pipe

С помощью этой уязвимости непривилегированный локальный пользователь может модифицировать содержимое кэша страниц памяти, связанных с файлами, доступными только для чтения, и таким образом повышать свои привилегии в системе. Уязвимость возникает из-за использования частично неинициализированной памяти в структуре буфера конвейера во время его построения. Отсутствие нулевой инициализации нового члена структуры приводит к использованию устаревшего значения флагов. Злоумышленники могут воспользоваться этим для получения доступа на запись к страницам памяти в кэше, даже если эти страницы были изначально помечены атрибутом «Только для чтения».

Существует множество способов получения злоумышленниками привилегии суперпользователя с помощью этой уязвимости — например, через несанкционированное создание новых заданий cron, подмену исполняемых файлов с правами SUID, модификации /etc/passwd и т. п.

Работоспособная версия эксплойта к Dirty Pipe уже доступна на различных сайтах и в репозиториях, связанных с безопасностью, и может применяться злоумышленниками в различных атаках.

Противодействие эксплуатации Dirty Pipe

Чтобы защитить корпоративную инфраструктуру от этой и других подобных угроз:

  • Применяйте все необходимые обновления безопасности по мере их поступления. Уязвимость CVE-2022-0847 исправлена в версиях 5.16.11, 5.15.25, 5.10.102 ядра Linux и более свежих.
  • Используйте решение безопасности, которое предоставляет компоненты для управления уязвимостями, а также защитные решения для Linux, такие как Kaspersky Endpoint Security для Linux.
  • Используйте последнюю информацию об угрозах, чтобы быть в курсе реальных TTP, используемых злоумышленниками.

IOC (MD5-хеши эксплойтов к CVE-2022-0847)

ebc8f0556e031a0b1180cfdfe6bf6e03

c3662a101db6bd9edec35767c7b85741

CVE-2022-0847 — уязвимость Dirty Pipe в ядре Linux

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике