0
0
O fornecedor de dispositivos de armazenamento conectado à rede (NAS), com sede em Taiwan, QNAP, identificou vários de seus produtos como potencialmente contendo uma grave vulnerabilidade do Linux apelidada de “Dirty Pipe”, que foi divulgada pela primeira vez na semana passada.
O anúncio do QNAP é a mais recente indicação do escopo potencialmente amplo do Dirty Pipe, uma falha de escalonamento de privilégios que existe em todos os kernels Linux da versão 5.8 através de versões antes do Linux 5.16.11, 5.15.25 e 5.10.102. O pesquisador de segurança Max Kellerman descobriu a falha [CVE-2022-0847] ao investigar um bilhete de suporte envolvendo arquivos corruptos em um local de cliente. Kellerman lançou uma exploração de prova de conceito para ele na semana passada, juntamente com uma explicação do assunto.
A falha foi abordada em todas as versões mais recentes do kernel Linux. Até agora, não houve relatos da vulnerabilidade do Cano Sujo sendo explorada na natureza. No entanto, o fato de que a falha existe em todos os dispositivos Linux rodando a versão 5.8 ou posterior do kernel — incluindo novos dispositivos Android 12, como o Google Pixel 6 e o Galaxy S22 rodando o Android 12 — e o fato de que ele pode ser explorado de várias maneiras tem despertado preocupação. A Agência de Segurança cibernética e segurança de infraestrutura dos EUA (CISA) estava entre as organizações que solicitam que revisassem detalhes da falha do Dirty Pipe e atualizassem as novas versões fixas do kernel.
“Essa vulnerabilidade permite que um usuário local sem privilégios obtenha privilégios raiz, como a criação não autorizada de novas [tarefas de agendamento], sequestro binário SUID, modificação de senha e assim por diante”, diz Yaroslav Shmelev, pesquisador de segurança da Kaspersky, que analisou a falha e divulgou um relatório sobre ela na semana passada.
Depois de obter direitos de superusuário, o invasor pode ter acesso a todos os dados armazenados no sistema, diz Shmelev. O invasor também pode obter acesso raiz persistente em um sistema comprometido, remover todos os traços de sua presença no sistema e alterar serviços privilegiados do sistema para capturar credenciais do usuário, diz ele.
A QNAP descreveu os produtos impactados como incluindo todos os seus NAS baseados em x86 e alguns dispositivos NAS baseados em QNAP ARM executando sistemas operacionais QTS 5.0.x e QuTS hero h5.0.x.
Em um comunicado, o fornecedor descreve a vulnerabilidade como dando a um usuário desprivilegiado a capacidade de obter privilégios administrativos e injetar código arbitrário em sistemas vulneráveis. A QNAP diz que não há mitigações disponíveis para a vulnerabilidade e pediu aos usuários dos dispositivos afetados que verifiquem e instalem as atualizações de segurança da empresa assim que estiverem disponíveis.
“A QNAP está investigando minuciosamente a vulnerabilidade”, observou a empresa. “Lançaremos atualizações de segurança e forneceremos mais informações o mais rápido possível.”
Kellerman descreveu a falha do Dirty Pipe como semelhante, mas mais fácil de explorar do que outra falha de kernel linux de 2016 chamada “Dirty Cow” (CVE-2016-5195). Esse bug estava ligado à forma como o subsistema de memória do kernel Linux lidava com uma função chamada “COPY-on-write” (COW). Como a falha recém-relatada do Linux, Dirty Cow impactou uma grande quantidade de sistemas — incluindo dispositivos Android — com base em certas versões do sistema operacional. Quase seis anos após a divulgação de Dirty Cow, as façanhas para ela continuam em alta demanda no submundo cibernético devido ao número de sistemas e dispositivos vulneráveis que permanecem não reparados.
De acordo com Kellerman, a falha do Linux Kernel Dirty Pipe basicamente permite que dados em arquivos arbitrários somente leitura sejam substituídos. Isso dá aos atacantes uma maneira de injetar código malicioso em processos radiculares e escalar privilégios. Shmelev, da Kaspersky, diz que a vulnerabilidade ocorre devido a uma falha no kernel Linux, que resulta em “tubos” que são usados para comunicações interprocessas para operar incorretamente.
“A exploração dessa vulnerabilidade acontece durante a criação do referido tubo e durante a execução de certas ações”, diz Shmelev. “[A falha cria] uma situação em que o autor ganha a capacidade de substituir o conteúdo de qualquer arquivo, que são acessíveis no modo somente leitura” e, assim, aumentar privilégios no sistema.
Simples de Explorar a falha
do LinuxA disponibilidade de uma exploração de Tubos Sujos em funcionamento em vários sites e repositórios tornou simples para os atacantes explorarem a falha. “Basta compilar o código-fonte da exploração e lançar o arquivo executável no dispositivo que está sendo atacado”, diz Shmelev.
As atualizações de segurança necessárias estão disponíveis em muitas distribuições Linux e podem ser lançadas como atualizações regulares do kernel Linux para corrigir a falha, acrescenta.
“Esta é uma vulnerabilidade de escalada de privilégios que requer acesso local para ser explorada”, diz Giovanni Vigna, diretor sênior de inteligência de ameaças da VMware. “Portanto, restringir o acesso a servidores Linux em uma base estrita de necessidade é uma boa prática geral que mitigaria esse ataque em particular”, diz ele.
Combinar essa abordagem com a segmentação de rede pode limitar o escopo e o alcance de uma brecha, envolvendo a falha do Tubo Sujo, acrescenta.
Vulnerabilidades como o Dirty Pipe são uma preocupação crescente devido ao uso generalizado do Linux em ambientes em nuvem e ao crescente volume e complexidade do malware Linux. Um estudo recente da VMware mostrou que o Linux atualmente alimenta cerca de 78% dos sites mais populares na Internet, tornando o sistema operacional um alvo popular para atores de ameaças. Ao mesmo tempo, o VMware encontrou relativamente poucas ferramentas disponíveis para detectar ameaças dirigidas ao Linux devido à falta de foco no sistema operacional entre os fabricantes de produtos anti-malware.
“Portanto, não é surpreendente que ataques que monetizam dados, como ransomware, e recursos de CPU, como criptominers, tenham encontrado um terreno fértil nesses ambientes”, diz Vigna. Ele aponta rEvil, DarkSide e Defray como exemplos de ransomware baseado em Linux que, em particular, visam cargas de trabalho em nuvem.
“Essas costumavam ser ameaças baseadas no Windows que evoluíram para versões Linux para ampliar seu escopo de destino”, diz ele. “À medida que os cibercriminosos percebem que há grandes oportunidades de monetização em ambientes baseados em Linux, é provável que as ameaças baseadas no Linux continuem aumentando em frequência e sofisticação.”
FONTE: DARK READING