Découverte d'une nouvelle faille Linux : l'accès root peut être corrompu

Une nouvelle vulnérabilité Linux a été découverte, et permettrait à des utilisateurs non privilégiés d'obtenir un accès root sur toutes les principales distributions basés sur le noyau Linux.

La vulnérabilité Dirty Pipe (c'est son petit nom), référencée sous la CVE-2022-0847, a été identifiée par le chercheur en sécurité Max Kellermann et permet à un utilisateur non privilégié d'injecter et d'écraser des données dans des fichiers en lecture seule.

C'est en travaillant sur un bug signalé par l'un de ses clients - qui corrompait les logs d'accès de son serveur web - que Kellerman a découvert cette faille, qu'il affirme similaire à la vulnérabilité Dirty COW, corrigée quant à elle en 2016.

Dans sa présentation de la faille, Kellermann a développé un POC qui montre que les utilisateurs locaux peuvent injecter données dans des fichiers sensibles en lecture seule, supprimer des restrictions ou encore modifier des configurations pour s'octroyer de plus grands privilèges dans un système Linux.

Un autre chercheur en sécurité, Phith0n, démontre sur Twitter qu'il est ainsi facilement possible de modifier le fichier /etc/passwd pour que l'utilisateur root ne dispose plus de mot de passe.

Une fois cette action effectuée, l'utilisateur peut dès lors exécuter la commande su root pour prendre le contrôle du compte root.

Why did I overwrite the /etc/passwd?
Because this file saves all the user information on Linux.
I remove the "x" flag behind the "root" user, it means that I set an empty password for this user. So I can use "su root" to escalate privilege without credentials.

— Phith0n (@phithon_xg) March 7, 2022

La vulnérabilité a été adressée à des mainteneurs clés des systèmes Linux le 20 février, dont l'équipe en charge de la sécurité du kernel et l'équipe sécurité d'Android.

Alors que le bug a été corrigé dans les kernels Linux 5.16.11, 5.15.25 et 5.10.102, de nombreux environnements continuent de tourner sur des versions obsolètes (un classique, n'est-ce pas ?), ce qui rend cette faille préoccupante pour les administrateurs de serveurs et pourrait mener à diverses tentatives d'exploitation de la faille, surtout dans le contexte actuel.