"Schmutzige Leitungen" im Kernel

Vor ein paar Jahren stand eine Sicherheitslücke mit der Bezeichnung "Dirty Cow" (CVE-2016-5195) eine Zeit lang im Rampenlicht. Es handelte sich dabei um einen einfach auszunutzenden Weg zur Ausweitung von Berechtigungen, der im Grunde jede Linux-Distribution betraf und in der freien Wildbahn ausgiebig ausgenutzt wurde. Diese Schwachstelle missbrauchte den Copy-On-Write-Mechanismus (COW) des Kernels und wurde einige Zeit später über Webserver, die Datei-Uploads zuließen, aus der Ferne ausgenutzt.

Am 7. März 2022 wurde eine ähnliche Sicherheitslücke bekannt, die ebenfalls alle aktuellen Linux-Distributionen betrifft und den Spitznamen "Dirty Pipe" trägt(CVE-2022-0847). Sie ermöglicht es einem nicht privilegierten Benutzer, jede beliebige Datei oder einen Teil einer Datei in einem Linux-System zu überschreiben, auch solche, die nur Lesezugriff haben. Es wurden bereits mehrere Varianten aufgedeckt, die das Ersetzen von SUID-Dateien ermöglichen.

Patches für CVE-2022-0847 werden in den kommenden Tagen über KernelCare zur Verfügung gestellt, und dieser Beitrag wird mit Informationen zur Verfügbarkeit aktualisiert, sobald sie verfügbar sind. Derzeit sind die Kernel-Versionen 5.8 und höher anfällig, wobei der fehlerhafte Commit auch auf mehrere 4.x-Versionen zurückportiert wurde.

[Update 9. März: Updates für RHEL 8 und Oracle EL 8 stehen jetzt zur Verfügung. Weitere Patches für andere Distributionen sind in Vorbereitung.

Update 10. März: Updates für CentOS8, Almalinux 8, Rocky Linux, Ubuntu 20.04, CloudLinux 8 und CloudLinux 7h sind ebenfalls fertiggestellt und werden in den Feeds angezeigt.

Update 11. März: Eine weitere Reihe von Updates für Ubuntu 18.04, Proxmox VE5 und Proxmox VE6 veröffentlicht].

Um den zugrundeliegenden Fehler hinter CVE-2022-0847 zu verstehen, ist es wichtig, dass wir zunächst einige kurze Informationen zu CVE-2016-5195 geben. "Dirty Cow" war möglich, weil eine Wettlaufsituation im Copy-On-Write-Subsystem innerhalb des Kernels gefunden wurde. Infolgedessen konnte ein unprivilegierter Benutzer durch diesen Fehler in ansonsten unerreichbare Speicherbereiche schreiben. Dies würde diese Speicherplätze "verschmutzen", daher der Name. Der Übergang zu einer Ausweitung der Rechte ist für jeden entsprechend motivierten böswilligen Akteur ein trivialer Vorgang, und genau das ist auch geschehen. Während "Dirty Cow" zunächst nur lokal ausgenutzt wurde, stellte sich bald heraus, dass auch Webserver, die die Möglichkeit haben, Uploads von Benutzern zu akzeptieren, als Angriffsvektor genutzt werden können. Die Schwachstelle war also auch aus der Ferne ausnutzbar.

Spulen Sie ein paar Jahre vor, und jetzt sind IT-Teams mit "Dirty Pipe" oder CVE-2022-0847 konfrontiert, wenn Sie denken, dass die Benennung von Sicherheitslücken nicht sehr professionell ist. Wie der Name schon sagt, liegt die Schwachstelle dieses Mal im Code zur Handhabung von Pipes. Pipes werden verwendet, um Informationen zwischen Prozessen zu übertragen. Die sichtbarste Art und Weise, wie Pipes verwendet werden, ist die Verkettung von Befehlen, wobei die Ausgabe von einem zum nächsten durch eine "Pipe" geleitet wird. Beachten Sie, dass Pipes direkt im Code erstellt werden können und nicht nur von einem Endbenutzer oder einem Skript in der Shell verwendet werden.

Es hat sich herausgestellt, dass der in diesem Commit in den Linux-Kernel eingeführte Code die Art und Weise, wie Pipe-Flags (eine Möglichkeit, das Verhalten von Pipes zu steuern) gehandhabt werden, "überarbeitet" hat. Sie können den ausführlichen Prozess hinter der Entdeckung dieser Schwachstelle hier nachlesen.

Kurz gesagt, es wurde möglich, benutzergesteuerte Inhalte an einem ebenfalls benutzergesteuerten Ort in eine beliebige Datei innerhalb des Systems zu schreiben (beachten Sie, dass, da alles in einem Linux-System technisch gesehen eine "Datei" ist, neue Varianten dieser Schwachstelle neue, noch unbekannte Verhaltensweisen einführen können). Zum Beispiel das Einfügen neuer Inhalte in /etc/shadow oder andere, subtilere Möglichkeiten, ein System zu manipulieren.

Da der Exploit-Code trivial ist, ist er bereits weithin online verfügbar (was uns zwar nicht abschreckt, aber wir versuchen, keine direkten Links zu Exploit-Code in unserem Blog zu veröffentlichen). Da Pipes eine grundlegende Funktion des Kernels sind, ist das potenzielle Risiko, das von dieser Schwachstelle ausgeht, sehr hoch. Es ist auch bemerkenswert, dass bereits mehrere Varianten gefunden wurden, bei denen dieselbe Schwachstelle dazu verwendet wird, andere Systemkomponenten zu missbrauchen, anstatt nur direkt in ansonsten nicht schreibbare Dateien zu schreiben. Es ist nicht allzu weit hergeholt, sich vorzustellen, dass in den kommenden Tagen aus der Ferne ausnutzbare Angriffsvektoren auftauchen werden, so wie sie 2016 für "Dirty Cow" auftauchten.

Für eine schnelle Überprüfung können Kunden die verwendete Kernel-Version überprüfen. Kernel vor 5.8 und beginnend mit 5.16.11, 5.15.25, 5.10.102 sind nicht betroffen. Andere Kernel-Versionen hängen möglicherweise von den spezifischen Backporting-Richtlinien der einzelnen Hersteller ab und werden derzeit geprüft.

Updates für RHEL 8, Oracle EL 8, CentOS8, Almalinux 8, Rocky Linux, Ubuntu 18.04, Ubuntu 20.04, Proxmox VE5, Proxmox VE6, CloudLinux 8 und CloudLinux 7h sind jetzt für die Bereitstellung durch KernelCare Enterprise verfügbar. Weitere Patches für andere Distributionen sind in Vorbereitung. IT-Teams wird dringend empfohlen, diese Sicherheitslücke so schnell wie möglich zu schließen. Die Patches von TuxCare für KernelCare Enterprise werden in Kürze zur Verfügung gestellt. Dieser Beitrag wird aktualisiert, um die tatsächliche Verfügbarkeit dieser Patches wiederzugeben, sobald sie veröffentlicht werden.

KernelCare Enterprise von TuxCare stellt Live-Patches für "Dirty Pipe" zur Verfügung, auch wenn der Hersteller der Originaldistribution nicht in der Lage ist, dies mit seiner eigenen Live-Patching-Lösung zu tun.

Mit KernelCare Enterprise können Patches für diese und andere Sicherheitslücken eingespielt werden, ohne dass laufende Arbeitsabläufe unterbrochen werden oder Systeme neu gestartet werden müssen. Wenn Sie mehr über KernelCare Enterprise und andere TuxCare-Produkte erfahren möchten, schauen Sie bitte hier.