روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ هفته گذشته، محقق امنیتی مکس کلرمن آسیبپذیریای را با وخامت شدید در کرنل لینوکس کشف کرد و از این رو عنوان CVE-2022-0847 را بدان داد. این آسیبپذیری کرنلهای لینوکس از نسخه 5.8 تا هر نسخه قبل از 5.16.11, 5.15.25 و 5.10.102 را تحت تأثیر قرار داده و میتواند برای بالا بردن امتیازهای لوکال مورد استفاده قرار گیرد. در ادامه با ما همراه باشید تا توضیحات بیشتری در این خصوص ارائه دهیم.
این آسیبپذیری در ابزار پایپ قرار دارد؛ ابزاری که کارش ارتباطگیری یکطرفه بین فرآیندهاست. از این محقق فوقالذکر نامش را Dirty Pipe یا همان پایپ کثیف گذاشته است. گرچه این نقص در نسخههای جدید لینوکس برطرف شده است و طبق دادههایی که بدست آوردهایم هیچ اکسپلویت انبوهی از این آسیبپذیری (تا زمان نگارش این مقاله) گزارش نشده است اما شرح با جزئیات آن و نیز اثبات مفهومش در فضای آنلاین موجود است و همین شاید احتمال اکسپلویت آن را توسط مهاجمین بالا ببرد. محصولات کسپرسکی با حملاتی که قصدشان رخنه به آسیبپذیری Dirty Pipe است مقابله میکند. حکمهای تشخیص نیز عبارتند از:
- HEUR:Exploit.Linux.CVE-2022-0847.a
- HEUR:Exploit.Linux.CVE-2022-0847.b
- HEUR:Exploit.Linux.CVE-2022-0847.с
- HEUR:Exploit.Linux.CVE-2022-0847.gen
جزئیات فنی Dirty Pipe
کاربر لوکال غیرممتاز شاید از نقص Dirty Pipe برای نوشتن در صفحات داخل حافظه پنهان پیج که توسط فایلهای فرمت Read only حمایت میشوند استفاده کند و بدینترتیب حقوق دسترسی خود را روی سیستم بیشتر کنند. این آسیبپذیری به دلیل استفاده از مموریِ بافرِ پایپ باشد که در طول ساخت آن تا حدی بدان ارزش آغازی داده نشده[1] است.
عدم مقداردهی اولیهی صفر[2] این عضو جدید سازه نتیجهاش میشود ارزش قدیم فلگها که مهاجم میتواند از آنها برای دریافت امتیاز نوشتن در حاظه پنهان استفاده کنند (حتی اگر در اصل مارک read only رویشان باشد). اینها روشهای مختلفی است برای مهاجمین تا بتوانند با استفاده از این آسیبپذیری به مزایای ریشهای دست پیدا کنند؛ نمونهاش ساخت غیرقانونی کرون جابهای[3] جدید، سرقت باینری SUID، etc، دستکاری پسورد و غیره. نسخه روی کار اکسپلویت Dirty Pipe در سایتها و منابع مختلف مرتبط با موضوع امنیت موجود است پس مهاجمین میتوانند از آن استفاده کنند.
تخفیف اثر
برای اینکه مطمئن شوید زیرساخت شما در برابر این تهدید و نیز تهدیدهای دیگر ایمن است توصیه میکنیم:
- به محض موجود شدن آپدیتهای امنیتی مربوطه سریعاً آنها را استفاده کنید. برای پچ CVE-2022-0847 سیستم لینوکس خود را به نسخههای 5.16.11، 5.15.25، 5.10.102 و جدیدتر آپدیت کنید.
- از راهکار امنیتی استفاده کنید که مدیریت پچ و محافظت اندپوینت بدهد؛ برای مثال کسپرسکی اندپوینت سکیوریتی برای لینوکس گزینه خوبی است.
- از آخرین اطلاعات هوش تهدید برای مطلع بودن از TTPهای واقعی توسط عاملین تهدید استفاده کنید.
IOCs (هشهای MD5 اکسپلویتهای CVE-2022-0847)
ebc8f0556e031a0b1180cfdfe6bf6e03
c3662a101db6bd9edec35767c7b85741
[1] Uninitialization
[2] zero initialization
[3] Cron job قابلیتی است در سیستم عاملهای بر مبنای یونیکس که وظیفهٔ اجرای برنامه در زمان بندیهای خاص را بر عهده دارد. کرون جاب این قابلیت را برای کاربران ایجاد میکند تا بتوانند کارها (دستورها و شل اسکریپت) به صورت زمان بندی شده و در دورههای مشخص اجرا کند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
