Utenti Linux a rischio: scoperto un nuovo exploit presente in tutte le distribuzioni

Il security researcher Max Kellermann, Software Engineer per CM4all GmbH, in questi giorni ha pubblicato un security report dove si rende nota la scoperta di un'importante falla di sicurezza presente in tutte le principali distribuzioni Linux. Tale bug è stato denominato come come "Dirty Pipe" e consente agli utenti locali di accedere ai poteri di amministratore tramite un exploit che sfrutta una vulnerabilità del file "password" presente nella directory etc.  Secondo il ricercatore è possibile sovrascrivere tale file ed eseguire un escalation dei privilegi senza dover inserire le credenziali di utente root.

Tale falla di sicurezza è stata classificata come CVE-2022-0847. Fortunatamente si tratta di un exploit eseguibile unicamente in locale. Dunque non è possibile sfruttare tale bug per prendere il possesso del sistema da remoto ma è necessario appunto avere accesso fisico alla PC target. Come specificato da Max Kellermann nel suo report, CVE-2022-0847 consente di sovrascrivere i dati presenti in /etc/password anche se sono in modalità sola lettura, bypassando completamente i permessi SUID ovvero quelle impostazioni del sistema che consentono la modifica di un determinato gruppo di file unicamente al suo proprietario (che in questo caso è l'utente root).

Max Kellermann ha scoperto tale bug in seguito all'analisi dei file di log di un web server che stava presentando varie problematiche. Sembra che questa falla sia presente a partire dalla release 5.8 del kernel Linux dunque affligge un enorme bacino di distribuzioni. Sempre secondo il security researcher CVE-2022-0847 è concettualmente molto simile ad un altro exploit chiamato Dirty COW, scoperto nel 2016 e classificato come CVE-2016-5195. Quindi sviluppare un patch per risolvere la vulnerabilità non dovrebbe essere molto complesso.  Infatti sono in arrivo degli update di sicurezza, dedicati alla risoluzione di tale bug, per le versioni di Linux 5.16.11, 5.15.25, e 5.10.102. Tuttavia in rete esistono migliaia di server web con build del kernel meno recenti che sono ancora vulnerabili a tale tipologia di attacco.