>
Research (Insikt)

Schwachstellen-Spotlight: Dirty Pipe

Veröffentlicht: 26. Mai 2022
Von: Insikt Group®

insikt-logo-blog.png

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Dieser Bericht bietet einen Überblick, eine technische Analyse und Schadensbegrenzung für CVE-2022-0847. Zu den Quellen gehören die Recorded Future ® -Plattform, GitHub und Open-Source-Berichte. Die Zielgruppe dieses Berichts sind Verteidiger und Analysten, die sich für die Funktionsweise von CVE-2022-0847-Exploits sowie für aktuell einsetzbare Abwehrmaßnahmen interessieren.

Executive Summary

CVE-2022-0847 (Dirty Pipe) ist eine Schwachstelle im Linux-Kernel, die Anfang März 2022 bekannt wurde. Die Sicherheitslücke wurde im Linux-Kernel Version 5.8 eingeführt und ermöglicht eine lokale Rechteausweitung durch willkürliches Überschreiben von Dateien. Mit der Offenlegung wurde ein Beispiel für einen Proof-of-Concept (POC)-Exploit veröffentlicht und seitdem wurden mehrere andere POCs auf GitHub veröffentlicht. Die öffentlichen Exploits sind zuverlässig und erfordern nur wenige Voraussetzungen, um zu funktionieren, wie etwa Leseberechtigungen für die Zieldatei. Aufgrund der Natur dieser Sicherheitslücke gibt es viele unterschiedliche Dateien, die für eine Rechteausweitung zum Ziel werden können. Aus diesem Grund werden in diesem Bericht die von vorhandenen POC-Exploits verwendeten Techniken hervorgehoben. CVE-2022-0847 wurde in den Linux-Kernel-Versionen 5.16.11, 5.15.25 und 5.10.102 gepatcht und alle wichtigen Linux-basierten Distributionen haben Patches in ihre Paket-Repositories integriert. Organisationen sollten die empfohlenen Patches so schnell wie möglich anwenden.

Wichtige Beobachtungen

  • CVE-2022-0847 existierte etwa zwei Jahre lang im Umlauf, es gibt jedoch keine Beweise dafür, dass die Schwachstelle vor ihrer öffentlichen Bekanntgabe ausgenutzt wurde.
  • Es sind mehrere POC-Exploits öffentlich verfügbar, wodurch diese Sicherheitslücke leicht ausgenutzt werden kann und für unerfahrene Angreifer zugänglich ist.
  • Exploits für CVE-2022-0847 sind zuverlässig und ermöglichen einem Angreifer Root-Zugriff, wenn sie auf einem anfälligen System ausgeführt werden. Der Root-Zugriff ermöglicht dem Bedrohungsakteur die Ausführung administrativer Aufgaben, beispielsweise das Lesen vertraulicher Dateien, die Installation schädlicher Software, die Nachahmung von Benutzern und möglicherweise die seitliche Bewegung im gesamten Netzwerk.
  • Die einzige Abhilfe für CVE-2022-0847 besteht in der Anwendung von Sicherheitspatches, die für alle wichtigen Linux-Distributionen verfügbar sind.
  • Recorded Future hat seit der Veröffentlichung von CVE-2022-0847 über 90 Verweise in Untergrundforen beobachtet, was auf ein allgemeines Interesse und die potenzielle Absicht hinweist, die Schwachstelle in zukünftigen Kampagnen auszunutzen.

Hintergrund

CVE-2022-0847 ist eine Schwachstelle zur Rechteausweitung im Linux-Kernel, die das Überschreiben beliebiger Dateien ermöglicht, wenn der Angreifer Lesezugriff auf die Datei hat. Die Schwachstelle wurde in Version 5.8 in den Linux-Kernel eingeführt und bestand etwa zwei Jahre lang, bevor sie entdeckt und gepatcht wurde. Entdeckt wurde es von Max Kellermann, der ihm aufgrund der Ähnlichkeiten mit CVE-2016-5195 (auch bekannt als „Dirty Cow“) den Spitznamen „Dirty Pipe“ gab. Kellermann identifizierte die Schwachstelle am 19. Februar 2022 und leitete am folgenden Tag eine koordinierte Offenlegung der Schwachstelle ein, indem er dem Linux-Kernel-Sicherheitsteam einen Fehlerbericht, einen POC-Exploit und einen Patch übermittelte. Nachdem Patches installiert waren, wurde die Sicherheitslücke am 7. März 2022 öffentlich bekannt gegeben. Derzeit liegen keine Hinweise darauf vor, dass die Schwachstelle CVE-2022-0847 vor ihrer Bekanntgabe bereits in freier Wildbahn ausgenutzt wurde.

Der Fehler selbst wird auf der CVSS 3.0-Skala hoch (7,8) bewertet. Angesichts der weiten Verbreitung von Linux-basierten Betriebssystemen betrifft die Sicherheitslücke viele andere Geräte als nur Desktops und Server, auf denen Linux-basierte Betriebssysteme laufen. Zu den anfälligen Geräten zählen zahlreiche IoT-Geräte (Internet of Things), Router sowie Android-Tablets und -Telefone. Es ist nicht möglich, die Sicherheitsanfälligkeit aus der Ferne auszunutzen. Sie könnte jedoch mit einer Remote Code Execution (RCE)-Sicherheitsanfälligkeit verknüpft werden, sodass sie ohne lokalen Zugriff ausgenutzt werden kann. Darüber hinaus sind nicht alle Geräte anfällig, da Linux-Kernel-Versionen vor 5.8 sowie alle Kernel-Versionen, die auf die gepatchten Versionen aktualisiert wurden, nicht betroffen sind.

Bei einer Suche in Underground- und Darknet-Quellen sind wir auf zahlreiche Diskussionen zu CVE-2022-0847 gestoßen. Während es ungewöhnlich ist, dass Bedrohungsakteure ihre Absichten, bestimmte Organisationen mithilfe einer bestimmten CVE ins Visier zu nehmen, öffentlich bekannt geben, deutet ein allgemeines Interesse der Mitglieder von Dark-Web-Foren darauf hin, dass die Bedrohungsakteure beabsichtigen, CVE-2022-0847 in böswilligen Kampagnen zu verwenden. Wie in Abbildung 1 unten dargestellt, haben wir in den letzten zwei Monaten in mehreren Darknet-Foren 120 Verweise auf CVE-2022-0847 identifiziert.

Sicherheitslücke-Spotlight-Dirty-Pipe-Abb.1.png Abbildung 1: Verweise auf CVE-2022-0847 oder Dirty Pipe in Darknet-Foren (Quelle: Recorded Future)

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Verwandt