روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هفته گذشته، محقق امنیتی مکس کلرمن آسیب‌پذیری‌ای را با وخامت شدید در کرنل لینوکس کشف کرد و از این رو عنوان CVE-2022-0847 را بدان داد. این آسیب‌پذیری کرنل‌های لینوکس از نسخه 5.8 تا هر نسخه قبل از  5.16.11, 5.15.25 و 5.10.102 را تحت تأثیر قرار داده و می‌تواند برای بالا بردن امتیازهای لوکال مورد استفاده قرار گیرد. در ادامه با ما همراه باشید تا توضیحات بیشتری در این خصوص ارائه دهیم.

این آسیب‌پذیری در ابزار پایپ قرار دارد؛ ابزاری که کارش ارتباط‌گیری یکطرفه بین فرآیندهاست. از این محقق فوق‌الذکر نامش را Dirty Pipe یا همان پایپ کثیف گذاشته است. گرچه این نقص در نسخه‌های جدید لینوکس برطرف شده است و طبق داده‌هایی که بدست آورده‌ایم هیچ اکسپلویت انبوهی از این آسیب‌پذیری (تا زمان نگارش این مقاله) گزارش نشده است اما شرح با جزئیات آن و نیز اثبات مفهومش در فضای آنلاین موجود است و همین شاید احتمال اکسپلویت آن را توسط مهاجمین بالا ببرد. محصولات کسپرسکی با حملاتی که قصدشان رخنه به آسیب‌پذیری Dirty Pipe است مقابله می‌کند. حکم‌های تشخیص نیز عبارتند از:

• HEUR:Exploit.Linux.CVE-2022-0847.a
• HEUR:Exploit.Linux.CVE-2022-0847.b
• HEUR:Exploit.Linux.CVE-2022-0847.с
• HEUR:Exploit.Linux.CVE-2022-0847.gen

جزئیات فنی Dirty Pipe

کاربر لوکال غیرممتاز شاید از نقص Dirty Pipe برای نوشتن در صفحات داخل حافظه پنهان پیج که توسط فایل‌های فرمت Read only حمایت می‌شوند استفاده کند و بدین‌ترتیب حقوق دسترسی خود را روی سیستم بیشتر کنند. این آسیب‌پذیری به دلیل استفاده از مموری‌ِ بافرِ پایپ باشد که در طول ساخت آن تا حدی بدان ارزش آغازی داده نشده[1] است.

عدم مقداردهی اولیه‌ی صفر[2] این عضو جدید سازه نتیجه‌اش می‌شود ارزش قدیم فلگ‌ها که مهاجم می‌تواند از آن‌ها برای دریافت امتیاز نوشتن در حاظه پنهان استفاده کنند (حتی اگر در اصل مارک read only رویشان باشد). اینها روش‌های مختلفی است برای مهاجمین تا بتوانند با استفاده از این آسیب‌پذیری به مزایای ریشه‌ای دست پیدا کنند؛ نمونه‌اش ساخت غیرقانونی کرون جاب‌‌های[3] جدید، سرقت باینری SUID، etc، دستکاری پسورد و غیره. نسخه روی کار‌ اکسپلویت Dirty Pipe در سایت‌ها و منابع مختلف مرتبط با موضوع امنیت موجود است پس مهاجمین می‌توانند از آن استفاده کنند.

تخفیف اثر

برای اینکه مطمئن شوید زیرساخت شما در برابر این تهدید و نیز تهدیدهای دیگر ایمن است توصیه می‌کنیم:

• به محض موجود شدن آپدیت‌های امنیتی مربوطه سریعاً آن‌ها را استفاده کنید. برای پچ  CVE-2022-0847 سیستم لینوکس خود را به نسخه‌های 5.16.11،  5.15.25، 5.10.102 و جدیدتر آپدیت کنید.
• از راهکار امنیتی استفاده کنید که مدیریت پچ و محافظت اندپوینت بدهد؛ برای مثال کسپرسکی اندپوینت سکیوریتی برای لینوکس گزینه خوبی است.
• از آخرین اطلاعات هوش تهدید برای مطلع بودن از TTPهای واقعی توسط عاملین تهدید استفاده کنید.

IOCs (هش‌های MD5 اکسپلویت‌های CVE-2022-0847)

ebc8f0556e031a0b1180cfdfe6bf6e03
c3662a101db6bd9edec35767c7b85741

[1] Uninitialization

[2] zero initialization

[3] Cron job قابلیتی است در سیستم عامل‌های بر مبنای یونیکس که وظیفهٔ اجرای برنامه در زمان بندی‌های خاص را بر عهده دارد. کرون جاب این قابلیت را برای کاربران ایجاد می‌کند تا بتوانند کارها (دستورها و شل اسکریپت) به صورت زمان بندی شده و در دوره‌های مشخص اجرا کند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.