Dirty Pipe : une faille critique qui touche le noyau Linux
Une nouvelle vulnérabilité critique touche Linux ! Nommée "Dirty Pipe", elle permet à un utilisateur local d'obtenir les droits "root" sur la machine. Des exploits publics sont disponibles. Faisons le point.
La vulnérabilité Dirty Pipe
Le chercheur en sécurité Max Kellermann a dévoilé la vulnérabilité "Dirty Pipe", associée à la référence CVE-2022-0847, et qui touche le noyau Linux à partir de la version 5.8, y compris sur les appareils Android. Puisque cette faille touche le noyau Linux, de nombreuses distributions sont impactées !
Cette vulnérabilité autorise un utilisateur standard lambda, sans droit "admin", à injecter et écraser les données au sein de fichiers en lecture seule.
Ce chercheur en sécurité a découvert cette faille de sécurité au cours d'une investigation, en s'intéressant à un bug qui avait qui corrompu les journaux d'accès aux serveurs Web de l'un de ses clients. D'après lui, cette vulnérabilité est similaire à la faille Dirty COW (CVE-2016-5195) corrigée en 2016. Sauf que celle-ci est plus facile à exploiter.
Max Kellermann a publié un exploit PoC afin de montrer la vulnérabilité en action. Le chercheur en sécurité surnommé Phith0n s'est inspiré de cet exemple pour montrer qu'un utilisateur standard pouvait modifier le fichier "/etc/passwd" en exploitant cette vulnérabilité. Grâce à cette modification, il peut supprimer le mot de passe du compte "root" (via la suppression du flag "x") et ainsi utiliser ce compte simplement avec la commande "su root".
Dans le même temps, un autre chercheur en sécurité surnommé BLASTY a publié un nouvel exploit qui permet d'exploiter la faille facilement ! En fait, son exploit permet de "patcher" la commande "/usr/bin/su" en créant un shell avec l'accès root directement dans "/tmp/sh". Ensuite, on peut faire ce que l'on veut sur la machine, car on est en root !
Dirty Pipe : les distributions affectées ?
Depuis le 20 février 2022, les équipes de sécurité des différentes distributions Linux et l'équipe de sécurité d'Android sont informées de l'existence de cette vulnérabilité dans le noyau Linux.
Cette faille de sécurité a été corrigée au sein des versions suivantes du noyau Linux : 5.16.11, 5.15.25, et 5.10.102. Néanmoins, de nombreux serveurs continuent d'utiliser une version vulnérable du noyau Linux.
Puisqu'il existe des exploits disponibles sur le Web, ce n'est qu'une question de temps avant que les hackers essaient de s'appuyer sur cette vulnérabilité dans le cadre d'attaques informatiques.
