Dirty Pipe : une faille critique qui touche le noyau Linux

Une nouvelle vulnérabilité critique touche Linux ! Nommée "Dirty Pipe", elle permet à un utilisateur local d'obtenir les droits "root" sur la machine. Des exploits publics sont disponibles. Faisons le point.

La vulnérabilité Dirty Pipe

Le chercheur en sécurité Max Kellermann a dévoilé la vulnérabilité "Dirty Pipe", associée à la référence CVE-2022-0847, et qui touche le noyau Linux à partir de la version 5.8, y compris sur les appareils Android. Puisque cette faille touche le noyau Linux, de nombreuses distributions sont impactées !

Cette vulnérabilité autorise un utilisateur standard lambda, sans droit "admin", à injecter et écraser les données au sein de fichiers en lecture seule.

Ce chercheur en sécurité a découvert cette faille de sécurité au cours d'une investigation, en s'intéressant à un bug qui avait qui corrompu les journaux d'accès aux serveurs Web de l'un de ses clients. D'après lui, cette vulnérabilité est similaire à la faille Dirty COW (CVE-2016-5195) corrigée en 2016. Sauf que celle-ci est plus facile à exploiter.

Max Kellermann a publié un exploit PoC afin de montrer la vulnérabilité en action. Le chercheur en sécurité surnommé Phith0n s'est inspiré de cet exemple pour montrer qu'un utilisateur standard pouvait modifier le fichier "/etc/passwd" en exploitant cette vulnérabilité. Grâce à cette modification, il peut supprimer le mot de passe du compte "root" (via la suppression du flag "x") et ainsi utiliser ce compte simplement avec la commande "su root".

Dans le même temps, un autre chercheur en sécurité surnommé BLASTY a publié un nouvel exploit qui permet d'exploiter la faille facilement ! En fait, son exploit permet de "patcher" la commande "/usr/bin/su" en créant un shell avec l'accès root directement dans "/tmp/sh". Ensuite, on peut faire ce que l'on veut sur la machine, car on est en root !

Dirty Pipe : les distributions affectées ?

Depuis le 20 février 2022, les équipes de sécurité des différentes distributions Linux et l'équipe de sécurité d'Android sont informées de l'existence de cette vulnérabilité dans le noyau Linux.

Cette faille de sécurité a été corrigée au sein des versions suivantes du noyau Linux : 5.16.11, 5.15.25, et 5.10.102. Néanmoins, de nombreux serveurs continuent d'utiliser une version vulnérable du noyau Linux.

Puisqu'il existe des exploits disponibles sur le Web, ce n'est qu'une question de temps avant que les hackers essaient de s'appuyer sur cette vulnérabilité dans le cadre d'attaques informatiques.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3782 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.