Acquisire i privilegi root su qualunque sistema Linux con Dirty Pipe

Lo scorso 20 febbraio un ricercatore esperto di sicurezza informatica ha segnalato la scoperta di una grave vulnerabilità nel kernel Linux: essa consente l’acquisizione di privilegi root da parte di qualunque utente in grado di accedere al sistema.

L’importante scoperta è stata messa a segno da Max Kellermann che ha battezzato l’attacco Dirty Pipe (CVE-2022-0847).
Vulnerabili sono tutte le versioni di Linux basate sul kernel 5.8 e precedenti oltre ai dispositivi Android.

Un utente sprovvisto di privilegi particolari può modificare e sovrascrivere file di sola lettura oltre che alterare il SUID (Set owner User ID), bit che permette di stabilire a chi appartiene qualunque elemento in uso.

Dopo l’avvenuta correzione del problema nelle versioni del kernel Linux 5.16.11, 5.15.25, e 5.10.102 (oltre che delle release successive) Kellermann ha pubblicato il codice Proof-of-Concept (PoC) che mostra come un utente sprovvisto di qualunque diritto possa iniettare dati arbitrari all’interno di file di sola lettura rimuovendo restrizioni e alterando in profondità la configurazione di ogni singolo dispositivo vulnerabile.

Da questo momento in avanti è lecito attendersi il rilascio di ulteriori codici exploit ancora più raffinati ed evoluti in grado di automatizzare l’attacco.
Un altro ricercatore ha dimostrato che è possibile modificare il file /etc/passwd in modo tale da rimuovere la password associata all’account root.
Una volta eseguito l’exploit l’aggressore può usare il comando su root per acquisire i privilegi più elevati senza specificare alcuna password.

Sono stati poi presentati ulteriori metodi di attacco che sempre sfruttando Dirty Pipe rendono l’aggressione ancora più immediata.

È vero che il problema è stato risolto con il rilascio delle nuove versioni del kernel Linux (e che quindi per correggerlo basta avviare un aggiornamento) ma come spesso accade molti server continueranno a utilizzare versioni del kernel ormai superate rappresentando un evidente problema per gli amministratori IT.

La vulnerabilità in questione è simile a Dirty COW, già utilizzata da alcuni malware per aggredire i sistemi Linux sebbene più complessa da sfruttare. La problematica è di particolare rilievo soprattutto nelle configurazioni Linux multi-utente.