Chargement

La vulnérabilité Dirty Pipe Linux permet un accès "root" (CVE-2022-0847)

2 min de lecture

Sécurité Linux Serveur
La vulnérabilité Dirty Pipe Linux permet un accès "root" (CVE-2022-0847)
Photo by Kevin Horvat / Unsplash

L'expert en sécurité Max Kellermann a découvert une faille Linux, baptisée "Dirty Pipe" et suivie comme CVE-2022-0847, qui peut permettre aux utilisateurs locaux d'obtenir des privilèges root sur toutes les principales distributions.

La vulnérabilité affecte le noyau Linux 5.8 et les versions ultérieures.

La vulnérabilité CVE-2022-0847 permet d'écraser des données dans des fichiers en lecture seule arbitraires, ce qui pourrait entraîner une élévation des privilèges car des processus non privilégiés peuvent injecter du code dans des processus racine.

Kellerman a expliqué que la faille est similaire à CVE-2016-5195, alias "Dirty Cow", et est plus dangereuse car plus facile à exploiter.

Dans un article de blog, le chercheur a expliqué qu'il avait découvert la faille en enquêtant sur des fichiers journaux d'accès corrompus pour l'un de ses clients.

Kellerman a publié des détails techniques sur la faille Dirty Pipe ainsi qu'un exploit de preuve de concept (PoC) qui permet aux utilisateurs locaux d'écraser tout contenu de fichier dans le cache de la page, même si le fichier n'est pas autorisé à être écrit, immuable ou sur un montage en lecture seule.

BleepingComputer a rapporté un tweet publié par le chercheur en sécurité Phith0n qui expliquait qu'il est possible d'utiliser l'exploit pour modifier le fichier /etc/passwd afin de définir l'utilisateur root sans mot de passe. En utilisant cette astuce, un utilisateur non privilégié pourrait exécuter la commande su root pour accéder au compte root.

Le chercheur Phith0n a également publié une version mise à jour de l'exploit qui permet d'obtenir des privilèges root en écrasant un programme SUID comme ./exp /usr/bin/su pour déposer un shell root sur /tmp/sh puis en exécutant le script.

Vous trouverez ci-dessous la chronologie de cette vulnérabilité :

Les serveurs exécutant des versions de noyau obsolètes sont exposés à des attaques exploitant cette faille.


Rédigé par INSYS INSYS

Partager sur

Recommandé pour vous

Les exploits TLStorm exposent plus de 20 millions d'onduleurs UPS d'APC

Les exploits TLStorm exposent plus de 20 millions d'onduleurs UPS d'APC

Un ensemble de trois vulnérabilités critiques de type "zero-day" désormais suivies sous le nom de "TLStorm" pourrait permettre aux pirates de prendre le contrôle des dispositifs d'alimentation sans coupure (UPS) d'APC, une filiale de Schneider Electric.

Des certificats NVIDIA utilisés pour déployer des logiciels malveillants

Des certificats NVIDIA utilisés pour déployer des logiciels malveillants

Les cybercriminels utilisent des certificats de signature de code NVIDIA volés pour signer les logiciels malveillants afin qu'ils paraissent dignes de confiance et permettent le chargement de pilotes malveillants dans Windows.

Microsoft Defender for Cloud peut désormais protéger Google Cloud

Microsoft Defender for Cloud peut désormais protéger Google Cloud

Microsoft a annoncé récemment que Microsoft Defender pour le cloud est désormais également doté d'une protection native pour les environnements Google Cloud Platform (GCP), fournissant des recommandations de sécurité et la détection des menaces dans les clouds.