Discussion :

[Bill Fassinou]

Linux est victime de la vulnérabilité la plus grave depuis des années
Dirty Pipe permet à un attaquant d'installer des portes dérobées, de modifier des scripts, etc.

Linux présente une nouvelle vulnérabilité de haute gravité qui affecte tous les noyaux depuis la version 5.8, ainsi que les produits dérivés, y compris Android. Connue sous le nom de Dirty Pipe, elle permet l'écrasement de données dans des fichiers en lecture seule et peut conduire à une élévation de privilèges via l'injection de code dans les processus "root". Ainsi, elle permet à des utilisateurs non autorisés d'exécuter facilement du code capable de réaliser une multitude d'actions malveillantes, dont l'installation de portes dérobées, la modification de scripts ou de binaires utilisés par des services ou des applications privilégiés, etc.

La vulnérabilité a été révélée par le chercheur en sécurité Max Kellerman. Proprement appelée CVE-2022-0847, Dirty Pipe est similaire à la vulnérabilité Dirty COW de 2016 qui ciblait le mécanisme de copie sur écriture (COW) dans le sous-système mémoire du noyau Linux. Elle transformait une cartographie en lecture seule en une cartographie en écriture et pouvait être combinée avec d'autres exploits pour obtenir un accès root. À titre de rappel, en 2016, des chercheurs ont démontré comment exploiter Dirty COW pour débrider (rooter - effectuer une élévation des privilèges) n'importe quel téléphone Android, quelle que soit la version de l'OS mobile.

Onze mois plus tard, les chercheurs ont déniché 1 200 applications Android sur des marchés tiers qui exploitaient malicieusement la faille pour y parvenir. Dirty Pipe, en revanche, est plus facile à exploiter. Des preuves de concept ont été fournies par plusieurs personnes telles que celle du développeur du noyau Binni Shah, rapidement concoctées et publiées sur Twitter. De son côté, le chercheur en sécurité Phith0n a amélioré le processus pour laisser le compte root sans mot de passe. Il faut noter que le nom "Dirty Pipe" est censé à la fois signaler les similitudes avec Dirty COW et fournir des indices sur les origines de la nouvelle vulnérabilité.

"Pipe" fait référence à un pipeline, un mécanisme Linux permettant à un processus OS d'envoyer des données à un autre processus. C'est un outil de communication interprocessus unidirectionnel, dont la première écriture lui alloue une page (4 ko) de mémoire. Si vous utilisez "splice()" pour ajouter des données d'un fichier au pipe, elles sont écrites dans un cache de page, et de là, vous pouvez écraser le cache en écrivant de nouvelles données, correctement préparées, dans le pipe. Dans Linux, "dirty" (sale) signifie qu'une page est en attente d'une écriture sur le disque, et le cache des pages n'écrit pas sur le disque si une page n'est pas sale.

L'écrasement de ses données ne rend pas une page sale, donc elle reste dans le cache mémoire, et vos données d'exploitation correctement préparées peuvent y être envoyées. L'écriture dans un pipe ne vérifie pas les permissions, donc n'importe qui peut le faire, permettant potentiellement une escalade de privilèges qui disparaît au redémarrage, car elle n'a jamais été écrite sur le disque. Kellerman - qui travaille pour le constructeur de sites Web CM4all, une filiale d'une société appelée Ionos - a découvert la vulnérabilité après été confronté à une série de fichiers corrompus qui apparaissaient constamment sur la machine Linux d'un client.

Après des mois d'analyse, le chercheur a finalement découvert que les fichiers corrompus du client étaient le résultat d'un bogue dans le noyau Linux. Il a trouvé le moyen d'exploiter Dirty Pipe pour permettre à toute personne possédant un compte - y compris les comptes "nobody" les moins privilégiés - d'ajouter une clé SSH au compte de l'utilisateur root. Grâce à cette clé, l'attaquant peut accéder à distance au serveur avec une fenêtre SSH dotée de tous les privilèges de l'utilisateur root. D'autres chercheurs ont rapidement montré que la création non autorisée d'une clé SSH n'était qu'une des nombreuses actions malveillantes possibles.

Par exemple, Dirty Pipe peut être utilisé pour détourner un binaire SUID pour créer un Shell root, tandis que des utilisateurs non autorisés peuvent également l'exploiter d'écraser des données dans des fichiers en lecture seule. Parmi les autres actions malveillantes permises par Dirty Pipe, citons la création d'une tâche cron (un outil permettant de planifier des taches régulières sur les systèmes de type Unix) qui s'exécute comme une porte dérobée, l'ajout d'un nouveau compte utilisateur dans /etc/passwd + /etc/shadow (donnant au nouveau compte les privilèges root), ou la modification d'un script ou d'un binaire utilisé par un service privilégié.

« C'est à peu près aussi grave que possible pour une vulnérabilité locale du noyau. Tout comme Dirty Cow, il n'y a pratiquement aucun moyen de l'atténuer, et elle implique des fonctionnalités centrales du noyau Linux », a déclaré Brad Spengler, président d'Open Source Security. La vulnérabilité est apparue pour la première fois dans la version 5.8 du noyau Linux, qui a été publiée en août 2020. Kellerman a envoyé un rapport de bogue (et un correctif) à l'équipe de sécurité du noyau Linux en février, et les correctifs ont été publiés trois jours plus tard. La vulnérabilité a été corrigée dans Linux 5.16.11, 5.15.25, et 5.10.102.

Dirty Pipe affecte également toute version d'Android basée sur l'une des versions vulnérables du noyau Linux. Puisqu'Android est si fragmenté, les modèles d'appareils affectés ne peuvent pas être suivis de manière uniforme. La dernière version d'Android pour le Pixel 6 et le Samsung Galaxy S22, par exemple, est 5.10.43, ce qui signifie que les appareils sont vulnérables. Un Pixel 4 sous Android 12, quant à lui, fonctionne avec la version 4.14, qui n'est pas affectée. Les utilisateurs d'Android peuvent vérifier quelle version du noyau leur appareil utilise en allant dans "Paramètres > À propos du téléphone > Version Android".

Google a ajouté le correctif au noyau Android quelques jours après le rapport de Kellerman. « La vulnérabilité Dirty Pipe est extrêmement grave dans la mesure où elle permet à un attaquant d'écraser - temporairement ou définitivement - des fichiers sur le système qu'il ne devrait pas être en mesure de modifier. Les attaquants peuvent utiliser cela pour modifier le comportement des processus privilégiés, obtenant effectivement la capacité d'exécuter du code arbitraire avec des privilèges système étendus », a écrit Christoph Hebeisen, responsable de la recherche en sécurité chez le fournisseur de sécurité mobile Lookout.

Selon les experts, un facteur atténuant est que la version du noyau qui a introduit la vulnérabilité, 5.8, est relativement récente. De nombreux serveurs de production n'utilisent pas la version 5.8. Par ailleurs, l'année 2022 a déjà connu une autre vulnérabilité Linux de haute gravité. Il s'agit de PwnKit, un bogue d'élévation de privilèges qui a été découvert en janvier après s'être caché dans le noyau Linux pendant 12 ans. Elle aussi est triviale à exploiter et ouvre la porte à de nombreuses formes de malveillance.

Toutefois, ils s'accordent à dire que la facilité d'exploitation de Dirty Pipe couplée aux choses quasi illimitées que les pirates peuvent faire avec elle en font la vulnérabilité d'élévation de privilèges la plus critique à frapper Linux depuis la Dirty Cow de 2016. « Étant donné qu'il y a déjà des exploits armés flottant sur Twitter, il est déjà trop tard pour les personnes qui avaient des utilisateurs non fiables existants sur leur système. Toute personne ayant une version du noyau affectée (>= 5.8) devrait appliquer le correctif dès que possible », recommande Spengler.

Source : Max Kellermann

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la variété des actions malveillantes que Dirty Pipe permet de mener ?
Pensez-vous avoir été victime de l'une des actions malveillantes que permet Dirty Pipe ? Si oui, partagez votre expérience.

Voir aussi

Une vulnérabilité du kernel Linux expose la mémoire et provoque des fuites de données, alors que des discussions se poursuivent sur la prise en charge de Rust pour le développement du noyau Linux

Des chercheurs ont secrètement tenté d'ajouter des vulnérabilités au noyau Linux et ont fini par être bannis

Il est possible de rooter des téléphones Android en se basant sur la faille Dirty Cow qui a affecté Linux pendant 9 ans

Un bogue vieux de 12 ans dans polkit permet d'obtenir des privilèges « root » sur les principales distributions GNU/Linux, Ubuntu et Red Hat ont déjà publié des correctifs

[kain_tn]

Très intéressant, merci beaucoup.

Que pensez-vous de la variété des actions malveillantes que Dirty Pipe permet de mener ?

À partir du moment où n'importe quel utilisateur local peut écraser des fichiers existants sans contrôle, le système est effectivement à la merci de n'importe quelle attaque locale (pouvant ensuite permettre des attaques distantes).

Quel est votre avis sur le sujet ?

Heureusement, un attaquant doit avoir un accès à un compte local, et tomber sur une version du kernel vulnérable.

Ce qui veut dire que tant que l'on installe uniquement des packages provenant de dépôts de confiance (et pas des ppa dans tous les sens comme on voit souvent dans les tutos), on limite fortement les risques.

La disparité des versions du kernel est également un avantage car beaucoup de serveurs tournent sur des versions longues (LTS) et n'ont donc pas forcément des versions entre 5.8 et 5.10.102

Pensez-vous avoir été victime de l'une des actions malveillantes que permet Dirty Pipe ? Si oui, partagez votre expérience.

Non, mes serveurs tournent tous sous des versions non-affectées du noyau. Idem pour mes téléphones.

En revanche, je me pose quand même des questions quant aux "box" opaques (type box internet) et autres appareils.

[TotoParis]

On peut conclure que Linux est loin d'être un système sûr, avec des bogues aussi sérieux...

[defZero]

Quel est votre avis sur le sujet ?

Qu'un projet aussi énorme avec autant de contributeur diffèrent et qui ne fait que croitre, ne peut qu'à terme devenir une passoire.
Fut un temps c'était même le moto des partisans des µKernel.

Que pensez-vous de la variété des actions malveillantes que Dirty Pipe permet de mener ?

Si on est affecter, ça ne doit pas faire plaisir, mais comme écrit précédemment, en prod c'est du LTS normalement.

Pensez-vous avoir été victime de l'une des actions malveillantes que permet Dirty Pipe ? Si oui, partagez votre expérience.

Nop, désolé .

[chrtophe]

On peut conclure que Linux est loin d'être un système sûr, avec des bogues aussi sérieux...

Aucun système n'est sûr, mais en attendant, bien qu'il y en ai, la plupart des grosses failles ne sont pas sous Linux. Et sans parler des correctifs de bugs qui provoquent d'autres bugs.

Le fait de ne pas travailler en root (ou en administrateur pour Windows) et de télécharger via des dépôts officiels limite aussi les dégâts. Applicable sous Windows mais non appliqué par tout le monde, même si maintenant il y a le store sous Windows. Et encore pour installer Chrome, ça lance un lien officiel dans Edge pour télécharger la version officielle, donc en gros ça contourne les contrôles du store.

Et quand on voit qu'au bout d'un mois de sortie de Windows 11, certains utilisateurs ont eu des problèmes avec l'outil de capture d'écran et le clavier tactile suite à l'expiration d'un certificat .. c'est de l'amateurisme et ça pose aussi la question que si l'appli a besoin d'un certificat, c'est qu"lle fait des requêtes Internet, pourquoi l'outil de capture d'écran en aurait besoin ?

[Escapetiger]

On peut conclure que Linux est loin d'être un système sûr, avec des bogues aussi sérieux...

Bien évidemment TotoParis, tu es retraité sur des systèmes mainframe de type z/OS que j'ai connu dans les années 80 en tant que développeur COBOL et pupitreur notamment chargé de l'ordonnancement puis plus tard lors de missions sur des projets transverses.

Il est important de signaler ici, sur un site professionnel, que l'ensemble de l'industrie des constructeurs - dont IBM (z/OS) - a investi dans Linux ( Red-Hat de mémoire pour IBM) - pour une rentabilité, une perennité, etc. vitale.

Ce qui ne m'empêche pas, à l'occasion, de vanter les mérites du Mainframe (Ordinateur central) et de ses équipes ...

De ce que je constate dans mon activité, empiriquement, c'est que le client final payait, parfois une fortune, les mises à jour de sécurité entre autres (patchs et compagnie selon les termes des éditeurs - constructeurs) et que c'est - de nos jours - de la responsabilité des équipes internes - la plupart du temps épaulées par des prestataires de service (SSII/ESN principalement en France) avec tous les risques de type dette technique que celà comporte...

[yahiko]

Le côté positif de cette histoire, c'est que les Pinguinistes pourraient devenir plus humbles et mesurés dans leurs attaques envers Microsoft Windows en matière de failles de sécurité.

[disedorgue]

Le côté positif de cette histoire, c'est que les Pinguinistes pourraient devenir plus humbles et mesurés dans leurs attaques envers Microsoft Windows en matière de failles de sécurité.

En fait, on nous bassine tellement de dire que linux est moins adapté que windows que l'on cherche à le rendre aussi attrayant que celui-ci jusque dans ses failles




PS: Bon, je plaisante là

[thamn]

On peut conclure que Linux est loin d'être un système sûr, avec des bogues aussi sérieux...

Principe de l'autruche: parce que je ne vois pas de problemes alors il n'y a pas de problemes

Ce n'est pas du tout une bonne methode pour garantir la securité, pour des raisons qui me semble assez evidentes..

La publication de ce rapport est une garantie que ce probleme va etre regler, et pas rester sous les radars pendant que certains s'en servent sans que personne ne soit au courant. J'imagine meme pas ce que tout les produits a sources fermés doivent accumuler comme failles de securité toujours inconnues mais certainement exploitées..

[jpouly]

Aucun système n'est sûr, mais en attendant, bien qu'il y en ai, la plupart des grosses failles ne sont pas sous Linux. Et sans parler des correctifs de bugs qui provoquent d'autres bugs.

Disons que les failles ne sont pas encore connus .

Le fait de ne pas travailler en root (ou en administrateur pour Windows) et de télécharger via des dépôts officiels limite aussi les dégâts. Applicable sous Windows mais non appliqué par tout le monde, même si maintenant il y a le store sous Windows. Et encore pour installer Chrome, ça lance un lien officiel dans Edge pour télécharger la version officielle, donc en gros ça contourne les contrôles du store.

L'une des règles de base sous Windows, c'est d'avoir un compte administrateur différencié du ou des comptes utilisateurs. Et de renommer le compte administrateur .

Pour les stores, je suis mitigé. Je ne suis pas persuadé du fait que ce soit plus sure que le site d'un éditeur, par exemple.

Et puis est-ce que M$ contrôle vraiment ce qu'il y a sur son store, parce que si on regarde les exemples d'Apple ou de Google .

Je ne parle pas, évidement, de logiciels téléchargés sur des sites bizarres voir sur des torrents. Parce que là, faut carrément arrêter.

Et quand on voit qu'au bout d'un mois de sortie de Windows 11, certains utilisateurs ont eu des problèmes avec l'outil de capture d'écran et le clavier tactile suite à l'expiration d'un certificat .. c'est de l'amateurisme et ça pose aussi la question que si l'appli a besoin d'un certificat, c'est qu"lle fait des requêtes Internet, pourquoi l'outil de capture d'écran en aurait besoin ?

Comment dire, Firefox qui désactive tous ces plugins a cause d'un certificat invalide . Des applis qui quittent le store de Google, parce que plus mis à jour
Bref y a plein d'exemples.

Par contre, je trouve pénible que sur Windows 11, tu soit obligé d'avoir un compte M$. D'un autre cotés, avec un smartphone, tu doit ouvrir un compte google ou Apple. De même sur Mac OsX. Donc ...

[chrtophe]

Pour les stores, je suis mitigé. Je ne suis pas persuadé du fait que ce soit plus sure que le site d'un éditeur, par exemple.

Et puis est-ce que M$ contrôle vraiment ce qu'il y a sur son store, parce que si on regarde les exemples d'Apple ou de Google

L'avantage d'un store, c’est d'avoir une source officielle de téléchargement, c'est quand même plus fiable que de télécharger depuis un site lambda suite à une recherche Google. Le site source de l'éditeur sera ce qu'il y a de plus fiable, mais encore faut il aller dessus. Combien de gens se font avoir en téléchargeant sur des sites non fiables via une recherche Google.

Pour le contrôle, Apple fait un contrôle vu qu'ils imposent des règles, les autres stores je sais pas, Pour google, il faut créer un compte développeur et payer des frais, ça fait déjà une première limitation et l'auteur est identifiable.

Comment dire, Firefox qui désactive tous ces plugins a cause d'un certificat invalide

Si un certificat n'est pas valide, c'est que soit il a expiré et donc le plugin n'a pas été mis à jour depuis un moment, soit il a été révoqué suite à un prob de sécurité, ou que la version de Firefox est trop vieille. exemple expiration du certificat IdentTrust DST Root CA X3. Et sur un navigateur utilisant le https c'est normal.

Par contre, un certificat fourni par un OS qui expire 30 jours après sa sortie officielle, c'est de l'amateurisme, mais qui a permit de révéler que l'outil de capture d'écran va sur Internet.

[MaitrePylos]

Le côté positif de cette histoire, c'est que les Pinguinistes pourraient devenir plus humbles et mesurés dans leurs attaques envers Microsoft Windows en matière de failles de sécurité.

Ben le temps d'écrire cette remarque, c'est patché...... On peut donc retourner sur les failles Windows

[chrtophe]

Et en moyenne, les failles Linux sont corrigés plus rapidement que chez Apple, Microsoft et même Google.

Pour un système qui je le rappelle est gratuit.

[Steinvikel]

Si linux est patché si rapidement, et profite d'un soutien massif de beaucoup de géants du domaine IT, c'est par ce que, aujourd'hui, la plupart des investissements de ces derniers (humain, en temps et compétences, ou directement financiers) le sont en rapport à un enrichissement des logiciels d'infrastructure ! ...pour ce qui est de l'open-source à destination de l'utilisateur final, on les note aux abonnées réguliers "absent".

On peut donc raisonablement penser que : toute solution qui partage une brique technologique commune aux logiciels d'infrastructure est très fiable et très réactif (en terme de code source). Pour la partie commune tout du moins.

[Escapetiger]

Le côté positif de cette histoire, c'est que les Pinguinistes pourraient devenir plus humbles et mesurés dans leurs attaques envers Microsoft Windows en matière de failles de sécurité.

Tenez, un petit moment de détente avec des « collègues » en balade :

Tux
Tux est un manchot.

Beaucoup pensent à tort que la mascotte de Linux est un pingouin, notamment parce qu'en anglais, le mot « manchot » se dit « penguin ». Ce que l'on désigne en français comme un pingouin est un oiseau de l'hémisphère nord de la famille des alcidés, qui peut voler, alors que le manchot est un oiseau qui ne vit que dans l'hémisphère sud et qui est incapable de voler. Dans le langage courant, utiliser le mot « pingouin » à la place de « manchot » est un abus de langage très fréquent.

Tux ne représente précisément aucune des 19 espèces de manchots, bien qu'il ressemble un peu à un Manchot Adélie et que Linus Torvalds ait trouvé des affinités avec un Manchot pygmée. Il dit d'ailleurs qu'il a été mordu par un manchot pygmée lors d'un de ses voyages.

Beaucoup d'artistes ont élaboré des variantes. Il en résulte de nombreuses créations burlesques, au point que l'image de Tux est de moins en moins associée à Linux...

...

VIDÉOS - Coronavirus : le zoo est désert, ces manchots en profitent pour se balader
Au zoo de Shedd Aquarium à Chicago, les manchots font le show dans les allées désertes du lieu, puisqu'il a été fermé pour les mesures de confinement - RTL

...

Wellington, Edward and Annie in Polar Play Zone -Shedd Aquarium

Wellington meets the Belugas - Shedd Aquarium

Etc.

[Aiigl59]

comment exploiter Dirty COW pour débrider (rooter - effectuer une élévation des privilèges) n'importe quel téléphone Android, quelle que soit la version de l'OS mobile.

On parle d'Androïd là, Le noyau Linux d'Androïd à force de "bidouillages" par Google, n'a plus grand chose à voir avec un noyau Linux officiel.
La faille relevée ici ne concerne QUE Androïd et la faute en revient aux bidouilles de Google. (comme d'hab...)
Androïd utilise un ancien noyau datant d'avant 2018...
La vulnérabilité à depuis longtemps été patchée sur les noyaux linux officiels.

The vulnerability has existed in the Linux kernel since version 2.6.22 released in September 2007, and there is information about it being actively exploited at least since October 2016.[2] The vulnerability has been patched in Linux kernel versions 4.8.3, 4.7.9, 4.4.26 and newer.

(sources Wikipedia)
CQFD !

[chrtophe]

Non :

la vulnérabilité existe depuis la version 5.8 du kernel Linux

Il s’agit ici de la CVE-2022-0847