Support technique
Documentation
Connexion
Nous contacter
"Pipes sales" dans le noyau
8 mars 2022 - L'équipe de relations publiques de TuxCare
Il y a quelques années, une vulnérabilité surnommée "Dirty Cow" (CVE-2016-5195) a fait parler d'elle pendant un certain temps. Il s'agissait d'un chemin d'escalade de privilèges trivialement exploitable qui affectait fondamentalement n'importe quelle distribution Linux et qui a été largement exploité dans la nature. Cette vulnérabilité abusait du mécanisme Copy-On-Write (COW) du noyau et s'est avérée, quelque temps plus tard, exploitable à distance par le biais de serveurs web autorisant le téléchargement de fichiers.
Le 7 mars 2022, une vulnérabilité similaire a été divulguée, affectant également toutes les distributions Linux récentes, surnommée "Dirty Pipe"(CVE-2022-0847). Elle permet à un utilisateur non privilégié d'écraser tout fichier, ou partie de fichier, dans un système Linux, même ceux en lecture seule. Plusieurs variantes ont déjà été divulguées qui permettent de remplacer les fichiers SUID.
Les correctifs pour CVE-2022-0847 seront disponibles par le biais de KernelCare dans les prochains jours, et cet article sera mis à jour avec les informations de disponibilité dès qu'ils seront prêts. À l'heure actuelle, les versions vulnérables du noyau comprennent les versions 5.8 et suivantes, le commit défectueux ayant été rétroporté à plusieurs versions 4.x également.
[Mise à jour du 9 mars : Les mises à jour pour RHEL 8 et Oracle EL 8 sont maintenant disponibles pour le déploiement. D'autres correctifs sont en cours de préparation pour d'autres distributions.
Mise à jour du 10 mars : Les mises à jour pour CentOS8, Almalinux 8, Rocky Linux, Ubuntu 20.04, CloudLinux 8 et CloudLinux 7h sont également terminées et vont apparaître sur les flux.
Mise à jour du 11 mars : Un autre lot de mises à jour publié pour Ubuntu 18.04, Proxmox VE5 et Proxmox VE6].
Pour comprendre la faille sous-jacente à CVE-2022-0847, il est important de donner d'abord quelques brèves informations sur CVE-2016-5195. "Dirty Cow" a été possible parce qu'une condition de course a été trouvée dans le sous-système Copy-On-Write au sein du noyau. Par conséquent, un utilisateur non privilégié pouvait écrire dans des emplacements mémoire autrement inaccessibles grâce à cette faille. Cela a pour effet de "salir" ces emplacements mémoire, d'où le nom. Passer de cette situation à une élévation de privilèges est une opération triviale pour tout acteur malveillant correctement motivé, et en fait, c'est précisément ce qui s'est passé. Alors que "Dirty Cow" était à l'origine une exploitation locale uniquement, on a rapidement découvert que les serveurs web qui avaient la possibilité d'accepter les téléchargements des utilisateurs pouvaient également être utilisés comme vecteur d'attaque. La vulnérabilité s'est donc révélée exploitable à distance.
Quelques années plus tard, les équipes informatiques sont confrontées à "Dirty Pipe", ou CVE-2022-0847 si vous pensez que donner un surnom aux vulnérabilités n'est pas une chose très professionnelle. Comme son nom l'indique, la faille se situe cette fois-ci dans le code de gestion des tuyaux. Les tuyaux sont utilisés comme moyen de transmettre des informations entre les processus. La façon la plus visible d'utiliser les tuyaux est d'enchaîner des commandes, en faisant passer la sortie d'une commande à la suivante par un "tuyau". Notez que les pipes peuvent être créés directement dans le code plutôt que simplement utilisés dans le shell par un utilisateur final ou un script.
Il s'avère que le code introduit dans ce commit du noyau Linux a "remanié" la façon dont les drapeaux de tuyaux (une façon de contrôler le comportement des tuyaux) sont traités. Vous pouvez lire le processus complet derrière la découverte de cette vulnérabilité ici.
Pour faire court, il est devenu possible d'écrire du contenu contrôlé par l'utilisateur à un endroit également contrôlé par l'utilisateur dans n'importe quel fichier du système (notez que, puisque tout dans un système Linux est techniquement un "fichier", de nouvelles variantes de cette vulnérabilité peuvent introduire de nouveaux comportements encore inconnus). Par exemple, l'introduction d'un nouveau contenu dans /etc/shadow, ou d'autres moyens plus subtils de manipuler un système.
Le code d'exploitation étant trivial, il est déjà largement disponible en ligne (bien que cela ne soit pas dissuasif, nous nous efforçons de ne pas publier de liens directs vers le code d'exploitation sur notre blog). Les pipes étant une fonctionnalité de base du Kernel, le risque potentiel posé par cette vulnérabilité est très élevé. Il convient également de noter que plusieurs variantes ont déjà été trouvées, dans lesquelles la même faille est utilisée pour abuser d'autres composants du système plutôt que de simplement écrire directement dans des fichiers autrement ininscriptibles. Il n'est pas si farfelu d'imaginer que des vecteurs d'attaque exploitables à distance feront surface dans les prochains jours, tout comme ils sont apparus pour "Dirty Cow" en 2016.
Pour une vérification rapide, les clients peuvent vouloir vérifier la version du noyau utilisé. Les noyaux antérieurs à 5.8 et commençant par 5.16.11, 5.15.25, 5.10.102 ne sont pas affectés. D'autres versions du noyau peuvent dépendre des politiques de rétroportage spécifiques de chaque fournisseur et sont en cours d'évaluation.
Les mises à jour pour RHEL 8, Oracle EL 8, CentOS8, Almalinux 8, Rocky Linux, Ubuntu 18.04, Ubuntu 20.04, Proxmox VE5, Proxmox VE6, CloudLinux 8 et CloudLinux 7h sont maintenant disponibles pour déploiement via KernelCare Enterprise. D'autres correctifs sont en cours de préparation pour d'autres distributions. Les équipes informatiques sont fortement encouragées à corriger cette vulnérabilité dès que possible. Les correctifs de TuxCare pour KernelCare Enterprise seront disponibles sous peu, et ce post sera mis à jour pour refléter la disponibilité réelle de ces correctifs lorsque chacun sera publié.
KernelCare Enterprise de TuxCare fournit des correctifs en direct pour "Dirty Pipe" même lorsque le fournisseur de la distribution originale n' est pas en mesure de le faire avec sa propre solution de correctifs en direct.
Grâce à KernelCare Enterprise, la réception des correctifs pour cette vulnérabilité et d'autres peut se faire sans perturber les charges de travail en cours ou sans avoir à redémarrer les systèmes. Si vous souhaitez en savoir plus sur KernelCare Enterprise et les autres produits TuxCare, veuillez cliquer ici.
