Grave vulnerabilidad de sobrescritura arbitraria de archivos ‘Dirty Pipe’ en el kernel de Linux. CVE-2022-0847

Contenidos en este artículo:

  • Descripción
  • Script de validación
  • CentOS 8 no tiene actualización

Descripción

Las distribuciones de Linux están publicando parches para abordar una vulnerabilidad de seguridad recientemente revelada en el Kernel, que podría permitir a un atacante sobrescribir datos arbitrarios en cualquier archivo de solo lectura y permitiría tomar control completo de los sistemas afectados.

Apodada «Dirty Pipe» (CVE-2022-0847, con puntuación CVSS: 7.8) la falla «conduce a una escalada de privilegios porque los procesos sin privilegios pueden inyectar código en los procesos raíz», según el desarrollador de software de IONOS Max Kellermann, descubridor de la vulnerabilidad.

Se dice que la falla del kernel de Linux existe desde la versión 5.8, y la vulnerabilidad comparte similitudes con la de Dirty Cow (CVE-2016-5195), que salió a la luz en octubre de 2016.

Explotar la debilidad requiere realizar los siguientes pasos: crear una tubería, llenar la tubería con datos arbitrarios, drenar la tubería, empalmar datos del archivo objetivo de solo lectura y escribir datos arbitrarios en la tubería, Kellermann describió en una prueba de Explotación del concepto (PoC) que demuestra la falla.

En pocas palabras; la vulnerabilidad es de alto riesgo porque permite que un atacante realice una serie de acciones maliciosas en el sistema, incluida la manipulación de archivos confidenciales como /etc/passwd para eliminar la contraseña del usuario root, agregar claves SSH para acceso remoto e incluso ejecutar binarios arbitrarios con los más altos privilegios.

Otra acción dañina posibilitada por Dirty Pipe incluye la capacidad de modificar archivos en imágenes de contenedores, siempre que un actor malicioso tenga acceso a un solo contenedor en el host.

El problema se solucionó en las versiones de Linux 5.16.11, 5.15.25 y 5.10.102 a partir del 23 de febrero de 2022, tres días después de que se informara al equipo de seguridad del kernel de Linux. Google, por su parte, fusionó las correcciones en el kernel de Android el 24 de febrero de 2022.

Dada la facilidad con la que se puede explotar la falla de seguridad y el lanzamiento del exploit PoC, se recomienda que los usuarios actualicen los servidores Linux de inmediato y apliquen los parches para otras distribuciones tan pronto como estén disponibles.

Script de validación

RedHat produjo un script de validación para determinar si un sistema es vulnerable a la falla. Recomendamos usarlo y determinar todos los equipos que deben ser actualizados, al menos a nivel del kernel. No olvidar que se requerirá reiniciar el equipo para que el nuevo kernel se cargue en memori. Mientras tanto la actualización sola no podrá solucionar la falla, por lo que se debe planificar el proceso completo lo más pronto posible.

CentOS 8 no tiene actualización

Los equipos con CentOS 8, dado que ya está en EOL, no disponen de un paquete de actualización para el kernel, es decir, elementalmente no se pueden corregir sólo un «update». En estos caso se sugiere programar una migración a una distribución como Almalinux 8, lo cual es factible y relativamente simple, pero requiere de tiempo y planificación principalmente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.