A falha Dirty Pipe foi descoberta em abril de 2021, pelo especialista em segurança Max Kellermann. Ele se deparou com um comportamento estranho em um servidor Linux que, meses depois, se mostrou ser uma vulnerabilidade bastante séria.
Leia também
Linux teve aumento de 35% de infecções em 2021; saiba os motivos
Linux completa 30 anos
Como a falha foi descoberta
O comportamento estranho em questão foi o corrompimento de arquivos de logs vindos de um servidor Linux. Um dos clientes de Max se queixou que não estava conseguindo descompactar os logs de acesso do servidor. Inicialmente, parecia ser apenas um bug pontual. Mas, meses depois, o mesmo problema voltou a ocorrer, desta vez com mais frequência.
Desconfiado desse bug, o especialista em segurança começou a fazer uma investigação mais aprofundada. A falha ficou mais clara quando ele viu que todos os arquivos corrompidos apresentavam o mesmo padrão de dano. O resultado da investigação foi a descoberta de uma grave vulnerabilidade no Kernel do Linux. Justamente na parte mais importante do sistema operacional.
E para piorar a situação, Max Kellermann descobriu que essa vulnerabilidade fazia muito mais do que corromper arquivos de log. Ela permitia que um invasor tivesse acesso root ao sistema. Ou seja, acesso com privilégios de administrador.
Como funciona a vulnerabilidade
Esta grave falha de segurança consiste no seguinte: arquivos com permissões somente leitura podiam ser sobrescritos temporária ou permanentemente. Isso é feito através do preenchimento de pipelines com dados específicos. O que são pipelines? São mecanismos de comunicação entre os processos.
Dessa forma, um usuário com conhecimento da falha poderia injetar código em processos de modo a facilitar um escalonamento de privilégios para acessar o sistema. Uma vez conseguido o acesso root, o usuário mal intencionado poderia instalar backdoors, roubar dados sigilosos, modificar configurações de segurança importantes, dentre outras ações.
A Dirty Pipe recebeu a identificação CVE-2022-0847. Analisando os dados percebe-se que ela é bastante parecida com uma outra falha crítica do Linux que ocorreu lá em 2016, chamada de Dirty Cow. É por isso que o nome dessa falha nova é parecido.
Inclusive, a Dirty Cow também permitia que um usuário comum tivesse acesso root ao Linux. Mas a Dirty Pipe é, em contrapartida, muito mais fácil de ser explorada. Mas, para atenuar um pouco a situação, ela não pode ser explorada remotamente. É preciso ter acesso físico ao computador.
Dirty Pipe já foi corrigida
Apesar de não poder ser explorada remotamente, a Dirty Pipe ainda é considerada uma falha grave. O motivo disso é por que ela afeta todas as distribuições Linux e até mesmo o sistema operacional Android. Se você não sabe, o Android usa como base uma versão do Kernel Linux que possui a vulnerabilidade que falamos acima.
A falha Dirty Pipe consegue ser usada no Kernel 5.8, que foi lançado em agosto de 2020, e em todas as versões posteriores. Felizmente, a falha já foi corrigida com o lançamento das versões 5.16.11; 5.15.25 e 5.10.102 do kernel Linux. Além disso, o Google também já corrigiu o problema no Android.
Fonte: Ars Technica
Veja também
Sobre o Autor
Deixe seu comentário