>
Insiktレポート

脆弱性スポットライト:ダーティパイプ

投稿: 2022年5月26日
作成者 : Insikt Group®

insikt-logo-blog.png

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

このレポートでは、CVE-2022-0847 の概要、技術分析、および緩和策について説明します。 ソースには、Recorded Future® Platform、GitHub、オープンソースのレポートが含まれます。 このレポートの対象読者は、CVE-2022-0847 エクスプロイトの仕組みと、現在採用可能な緩和策に関心のある防御者やアナリストです。

Executive Summary

CVE-2022-0847(Dirty Pipe)は、2022年3月上旬に公開されたLinuxカーネルの脆弱性です。 この脆弱性はLinuxカーネルバージョン5.8で導入され、任意のファイルの上書きによるローカル権限の昇格が可能になります。 この開示により、概念実証(POC)エクスプロイトの例がリリースされ、それ以来、他のいくつかのPOCがGitHubで公開されています。 公開されているエクスプロイトは信頼性が高く、ターゲット ファイルの読み取りアクセス許可など、機能するために必要な前提条件はごくわずかです。 この脆弱性の性質を考えると、特権昇格の対象となる可能性のあるさまざまなファイルがあります。したがって、このレポートでは、既存のPOCエクスプロイトで使用されている手法に焦点を当てています。 CVE-2022-0847 は、Linux カーネル バージョン 5.16.11、5.15.25、および 5.10.102 でパッチが適用され、すべての主要な Linux ベースのディストリビューションは、パッケージ リポジトリにパッチを組み込んでいます。 組織は、推奨されるパッチをできるだけ早く適用する必要があります。

主な所見

  • CVE-2022-0847 は、公開前に悪用されたという証拠はありませんが、約 2 年間野生に存在していました。
  • 複数のPOCエクスプロイトが公開されているため、この脆弱性は悪用しやすく、慣れていない攻撃者でもアクセス可能です。
  • CVE-2022-0847のエクスプロイトは信頼性が高く、脆弱なシステム上で実行すると、攻撃者はルートアクセスを取得できます。 ルートアクセスにより、脅威アクターは、機密ファイルの読み取り、悪意のあるソフトウェアのインストール、ユーザーのなりすまし、ネットワーク内を横方向に移動する可能性のある管理タスクを実行できます。
  • CVE-2022-0847の唯一の緩和策は、すべての主要なLinuxディストリビューションで利用可能なセキュリティパッチを適用することです。
  • Recorded Futureは、CVE-2022-0847が開示されて以来、90件以上のアンダーグラウンドフォーラムへの言及を観測しており、将来のキャンペーンでこの脆弱性を悪用する一般的な関心と潜在的な意図を示しています。

背景

CVE-2022-0847 は、Linux カーネルの特権昇格の脆弱性であり、攻撃者がファイルへの読み取りアクセス権を持っている場合、任意のファイルを上書きできます。 この脆弱性は、バージョン5.8でLinuxカーネルに導入され、発見されてパッチが適用されるまで約2年間存在していました。 これはMax Kellermannによって発見され、CVE-2016-5195(別名「Dirty Cow」)との類似性から「Dirty Pipe」というニックネームが付けられました。 Kellermann は 2022 年 2 月 19 日にこの脆弱性を特定し、翌日にはバグレポート、POC エクスプロイト、パッチを Linux カーネルセキュリティチームに提出することで、協調的な脆弱性開示を開始しました。 パッチが適用された後、この脆弱性は2022年3月7日に公開されました。 現時点では、CVE-2022-0847が公開される前に実際に悪用されたという証拠はありません。

バグ自体は CVSS 3.0 スケールで高い (7.8) と評価されています。 Linuxベースのオペレーティングシステム(OS)が広く普及していることを考えると、この脆弱性はLinuxベースのOSを実行しているデスクトップやサーバー以外の多くのデバイスに影響を及ぼします。 脆弱なデバイスには、さまざまなモノのインターネット(IoT)デバイス、ルーター、Androidタブレットや電話が含まれます。 この脆弱性をリモートで悪用することはできません。ただし、リモートコード実行(RCE)の脆弱性と連鎖して、ローカルアクセスなしで使用される可能性があります。 さらに、5.8より前のLinuxカーネルバージョン、およびパッチが適用されたバージョンに更新されたカーネルバージョンも影響を受けないため、すべてのデバイスが脆弱になるわけではありません。

アンダーグラウンドウェブとダークウェブのソースを検索した結果、CVE-2022-0847に関連する多数の議論を特定しました。 脅威アクターが特定のCVEを使用して特定の組織を標的にする意図を公に開示することはめったにありませんが、ダークウェブフォーラムのメンバーに共通する一般的な関心は、脅威アクターが悪意のあるキャンペーンでCVE-2022-0847を使用する意図を示しています。 下の図1に示すように、過去2か月間に複数のダークウェブフォーラムでCVE-2022-0847への言及が120件確認されました。

vulnerability-spotlight-dirty-pipe-fig-1.png 図1:ダークウェブフォーラムでのCVE-2022-0847またはDirty Pipeの参照(出典:Recorded Future)

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連