最近パッチが当たったLinuxの権限昇格脆弱性は、ローカル攻撃者がArch Linuxシステムで根拠権を獲得できる公開されているPoC(概念実証)エクスプロイトを持つようになった。
V12セキュリティチームによってPinTheftと名付けられたこの脆弱性は、まだ追跡を容易にするためのCVE IDの割り当てを待っており、Linuxカーネルの RDS(信頼できるデータグラムソケット)に存在し、先月初めにパッチが当たった。
「PinTheftはRDSゼロコピーのダブルフリーに対するLinuxローカル権限昇格エクスプロイトで、io_uringの固定バッファを通じてページキャッシュの上書きに変えることができます」とV12は火曜日のアドバイザリーで述べた。
広告主のウェブサイトにアクセスページに移動
「バグはRDSゼロコピー送信パスに存在していた。rds_message_zcopy_from_user()はユーザーページを一度に1つずつピンしている。後のページがフォルトする場合、エラーパスはすでにピンしたページをドロップし、zcopyタイプが消去された後もscatterlistエントリとエントリカウントがライブのままであるため、後のRDSメッセージクリーンアップはそれらを再度ドロップする。失敗したゼロコピー送信ごとに、最初のページから1つの参照を盗むことができます。」
V12はまた、io_uringが盗まれたページポインタを保有したままになるまでFOLL_PIN参照を盗み、ルートシェルを取得することを可能にするPoCエクスプロイトをリリースした。
ただし、ターゲットシステムにRDSモジュールが読み込まれているほかに、PinTheftは成功した悪用のための特定の条件も必要とします。これにはio_uring Linux I/O APIが有効になっていること、読み取り可能なSUID-rootバイナリ、そして含まれるペイロードのx86_64サポートが含まれます。
これは攻撃面を大幅に制限し、V12はRDSモジュールが最も一般的なLinuxディストロの中でArch Linuxでのみデフォルトで有効になると述べています。
「残念ながら、これが必要とするRDSカーネルモジュールは、テストした一般的なディストロの中ではArch Linuxでのみデフォルトであると、V12は付け加えた。」
影響を受けたディストロのLinuxユーザーは、できるだけ早く最新のカーネルアップデートをインストールするようお勧めします。
ただし、すぐにデバイスにパッチを当てることができない者は、次の軽減策を使用して悪用の試みをブロックすることもできます:
rmmod rds_tcp rds
printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.confこれは、過去数週間にわたって他の多くのLinuxローカル権限昇格(LPE)脆弱性が開示された後に来ており、その一部はセキュリティパッチが利用できないゼロデイです。
週末にかけて、セキュリティ研究者は、最近パッチが当たった別のLinux LPE(DirtyDecryptおよびDirtyCBCとして追跡)を対象としたPoCエクスプロイトをリリースしました。これはDirty Frag、Fragnesia、およびCopy Failを含むいくつかの他のルート昇格フローと同じ脆弱性クラスに属しています。
これらの開示は、脅威行為者がCopy Fail脆弱性を攻撃で積極的に悪用し始めたという報告に続いています。サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)はCopy Failをその攻撃で悪用されたフローのリストに5月1日に追加し、政府機関に2週間以内にLinuxシステムをセキュリティで保護するよう命じました。
先月、Linuxディストロはルート権限昇格脆弱性のセキュリティパッチもリリースしました(Pack2TheRootと名付けられ、PackageKitデーモンで発見されたもので、10年以上気づかれずに残っていました)。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。6つが必要です。
自動ペネトレーションテストツールは実際の価値を提供していますが、1つの質問に答えるために構築されました:攻撃者がネットワークを通じて移動できるか?それらは、あなたのコントロールが脅威をブロックするかどうか、検出ルールが動作するかどうか、またはクラウド構成が成り立つかどうかをテストするために構築されていませんでした。
このガイドでは、実際に検証する必要がある6つのサーフェスについて説明しています。
