Las distribuciones de Linux están en proceso de emitir parches para abordar una vulnerabilidad de seguridad recientemente revelada en el kernel que podría permitir a un atacante sobrescribir datos arbitrarios en cualquier archivo de solo lectura y permitir una toma de control completa de los sistemas afectados.
Doblado «tubería sucia(CVE-2022-0847, puntuación CVSS: 7,8) del desarrollador de software de IONOS Max Kellermann, la falla «conduce a una escalada de privilegios porque los procesos sin privilegios pueden inyectar código en los procesos raíz».
Kellerman dijo que el error se descubrió después de investigar un problema de soporte planteado por uno de los clientes de la nube y el proveedor de alojamiento que se refería a un caso de un «tipo sorprendente de corrupción» que afectaba los registros de acceso del servidor web.
Se dice que la falla del kernel de Linux existe desde versión 5.8con la vulnerabilidad compartiendo similitudes con la de Dirty Cow (CVE-2016-5195), que salió a la luz en octubre de 2016.
«Se encontró una falla en la forma en que el miembro ‘flags’ de la nueva estructura de búfer de tubería carecía de la inicialización adecuada en las funciones copy_page_to_iter_pipe y push_pipe en el kernel de Linux y, por lo tanto, podría contener valores obsoletos», explicó Red Hat en un aviso publicado el lunes.
«Un usuario local sin privilegios podría usar esta falla para escribir en páginas en el caché de la página respaldado por archivos de solo lectura y, como tal, escalar sus privilegios en el sistema», agregó.
Pipa, abreviatura de tuberíaes un mecanismo de comunicación unidireccional entre procesos en el que un conjunto de procesos se encadenan de manera que cada proceso recibe una entrada del proceso anterior y produce una salida para el proceso siguiente.
Explotar la debilidad requiere realizar los siguientes pasos: crear una tubería, llenar la tubería con datos arbitrarios, drenar la tubería, empalmar datos del archivo de solo lectura de destino y escribir datos arbitrarios en la tubería, Kellerman describió en una prueba de Explotación del concepto (PoC) que demuestra la falla.
En pocas palabras; la vulnerabilidad es de alto riesgo porque permite que un atacante realice una serie de acciones maliciosas en el sistema, incluida la manipulación de archivos confidenciales como /etc/contraseña para eliminar la contraseña de un usuario raíz, agregar claves SSH para acceso remoto e incluso ejecutar binarios arbitrarios con los privilegios más altos.
«Para hacer más interesante esta vulnerabilidad, no solo funciona sin permisos de escritura, también funciona con archivos inmutables, en modo de solo lectura». btrfs instantáneas y en montajes de solo lectura (incluidos los montajes de CD-ROM)», dijo el investigador. «Eso se debe a que el caché de la página siempre se puede escribir (por el kernel), y escribir en una tubería nunca verifica ningún permiso».
El problema se solucionó en las versiones de Linux 5.16.11, 5.15.25 y 5.10.102 a partir del 23 de febrero de 2022, tres días después de que se informara al equipo de seguridad del kernel de Linux. Google, por su parte, ha fusionó las correcciones en el kernel de Android el 24 de febrero de 2022.
Dada la facilidad con la que se puede explotar la falla de seguridad y el lanzamiento del exploit PoC, se recomienda que los usuarios actualicen los servidores Linux de inmediato y aplicar los parches por otro distribuciones tan pronto como estén disponibles.