Eerder vanochtend hebben we je bericht over de kwetsbaarheid van een aantal Qnap nas-apparaten voor de recent ontdekte Dirty Pipe Linux-bug. Developer-first securitybedrijf Snyk heeft ons inmiddels laten weten Linux-gebruikers te willen waarschuwen voor de fout in de Linux-kernel. Deze kan worden uitgebuit door aanvallers, waardoor elk proces bestanden kan wijzigen, ongeacht machtigingsinstellingen of eigendom.
De kwetsbaarheid wordt Dirty Pipe genoemd vanwege de gelijkenis met Dirty COW, een kwetsbaarheid die in 2016 werd gerapporteerd en omdat de fout zich bevindt in de kernel pipeline-implementatie. De officiële benaming is CVE-2022-0847.
Een container image bestaat in principe uit een verzameling lagen die over elkaar heen worden gelegd. Algemeen advies is om er zeker van te zijn dat containers hun processen uitvoeren als niet-bevoegde gebruikers en om hun root bestandssystemen beschikbaar te stellen als ‘alleen-lezen’ om het moeilijker te maken voor aanvallers om deze te bewerken. Dirty Pipe heeft invloed op je container images. Nog eenvoudiger gesteld: een relatief eenvoudige reeks stappen kan worden uitgevoerd waardoor de inhoud van bijna elk bestand kan worden gewijzigd, zelfs als dat bestand machtigingen en/of eigendomsinstellingen heeft die dergelijke acties beperken.
Eric Smalling, Senior Developer Advocate bij Snyk, legt uit wat bedrijven kunnen doen om hun systemen te beschermen:
"Ik wil benadrukken dat gebruikers en bedrijven deze kwetsbaarheid niet moeten onderschatten. Aanvallers die in staat zijn om bestanden te wijzigen zonder toestemming of eigenaarschap zouden potentieel erg gevaarlijk kunnen zijn.
De enige bekende oplossing voor deze kwetsbaarheid is om jouw Linux hosts te upgraden naar één van de volgende kernelversies: 5.16.11, 5.15.25, 5.10.102. Er zijn geen andere opties die systemen kunnen beschermen als een kwaadwillende toegang krijgt tot de omgeving. Ik zou iedereen aanraden om hun Linux-hosts onmiddellijk te controleren en te updaten."
Meer informatie over de kwetsbaarheid lees je hier in het blog van Eric Smalling.
Bron: Snyk
