Инциденты

CVE-2022-0847 — уязвимость Dirty Pipe в ядре Linux

На прошлой неделе исследователь Макс Келлерманн (Max Kellermann) обнаружил в ядре Linux уязвимость высокой степени опасности, получившую идентификатор CVE-2022-0847. Она затрагивает все версии ядра Linux от 5.8 до 5.16.11, 5.15.25 и 5.10.102 и может использоваться для локального повышения привилегий. Уязвимость связана с реализацией конвейера, который обеспечивает одностороннюю коммуникацию между процессами. Хотя она исправлена в последних версиях ядра Linux и мы не наблюдаем ее массовой эксплуатации на текущий момент, в Сети доступно ее подробное описание и рабочий эксплойт, что увеличивает риск использования уязвимости злоумышленниками.

Продукты «Лаборатории Касперского» обнаруживают попытки эксплуатации Dirty Pipe со следующими вердиктами:

  • HEUR:Exploit.Linux.CVE-2022-0847.a
  • HEUR:Exploit.Linux.CVE-2022-0847.b
  • HEUR:Exploit.Linux.CVE-2022-0847.с
  • HEUR:Exploit.Linux.CVE-2022-0847.gen

Технические детали уязвимости Dirty Pipe

С помощью этой уязвимости непривилегированный локальный пользователь может модифицировать содержимое кэша страниц памяти, связанных с файлами, доступными только для чтения, и таким образом повышать свои привилегии в системе. Уязвимость возникает из-за использования частично неинициализированной памяти в структуре буфера конвейера во время его построения. Отсутствие нулевой инициализации нового члена структуры приводит к использованию устаревшего значения флагов. Злоумышленники могут воспользоваться этим для получения доступа на запись к страницам памяти в кэше, даже если эти страницы были изначально помечены атрибутом «Только для чтения».

Существует множество способов получения злоумышленниками привилегии суперпользователя с помощью этой уязвимости — например, через несанкционированное создание новых заданий cron, подмену исполняемых файлов с правами SUID, модификации /etc/passwd и т. п.

Работоспособная версия эксплойта к Dirty Pipe уже доступна на различных сайтах и в репозиториях, связанных с безопасностью, и может применяться злоумышленниками в различных атаках.

Противодействие эксплуатации Dirty Pipe

Чтобы защитить корпоративную инфраструктуру от этой и других подобных угроз:

  • Применяйте все необходимые обновления безопасности по мере их поступления. Уязвимость CVE-2022-0847 исправлена в версиях 5.16.11, 5.15.25, 5.10.102 ядра Linux и более свежих.
  • Используйте решение безопасности, которое предоставляет компоненты для управления уязвимостями, а также защитные решения для Linux, такие как Kaspersky Endpoint Security для Linux.
  • Используйте последнюю информацию об угрозах, чтобы быть в курсе реальных TTP, используемых злоумышленниками.

IOC (MD5-хеши эксплойтов к CVE-2022-0847)

ebc8f0556e031a0b1180cfdfe6bf6e03

c3662a101db6bd9edec35767c7b85741

CVE-2022-0847 — уязвимость Dirty Pipe в ядре Linux

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике