Corpus Solutions Security Advisory: Dirty COW – Linux root exploit
26. 10. 2016
Této zranitelnosti jsou vystaveny téměř všechny verze OS Linux. Tzv. „Dirty COW“ (CVE-2016-5195) je náchylnost systému k eskalaci přidělených privilégií, ale díky velkému počtu ohrožených systémů by se tato chyba neměla brát na lehkou váhu.
Vytvoření funkčního exploitu je velice jednoduché, navíc tato chyba je součástí jádra OS Linux, tudíž je tato chyba rozšířená skrze většinu známých distribucí (RedHat, Debian, Ubuntu, …). A to nejenom na nejnovějších verzích, ale prakticky na všech verzích OS až devět let dozadu.
„Dirty COW“ útočníkovi potencionálně umožňuje jakémukoliv nainstalovanému škodlivému softwaru získat administrátorské oprávnění a to ve velice krátké době (cca 5s).
Název vznikl zkrácením názvu mechanismu Copy On Write (COW), který se nachází v linuxovém jádře. Tento mechanismus je poškozený a dovoluje libovolné aplikaci či škodlivému kódu přistupovat a manipulovat se spustitelnými či read-only soubory patřící root uživateli.
Chybná podmínka umožňují „Dirty COW“ byla nalezena v paměťovém subsystému, který má na starost správu userspacu. Díky tomu může neoprávněný uživatel protlačit spustitelný soubor do adresního prostoru roota a tím pádem zvýšit oprávnění dané aplikace či kódu.
„Dirty COW“ se poprvé vyskytnula v Linux kernelu 2.66.22 v roce 2007, dále je tato chyba přítomna v OS Android.
Zvýšenou pozornost je tedy nutné věnovat nejen mobilním zařízením, ale také serverům poskytujícím služby s omezenými oprávněními (např.: poštovní servery, webové servery, …)
Klasifikace zranitelnosti
- CVSS Severity (version 3.0):
- CVSS v3 Base Score: 7.8 High
- Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Reference
- https://access.redhat.com/security/cve/cve-2016-5195
- http://thehackernews.com/2016/10/linux-kernel-exploit.html
Opatření k odstranění zranitelnosti
Pro odstranění chyby doporučujeme updatovat na nejnovější verzi Linux kernelu. Tento update je dostupný pro Linuxové distribuce Debian a Ubuntu, zbývající distribuce by měly přibýt v řádu týdnů.
U systémů ve správě Corpus Solutions provedeme v nejbližší době analýzu zranitelnosti a případně učiníme opatření pro eliminaci tohoto problému. Zákazníky budeme průběžně informovat prostřednictvím standardních komunikačních mechanizmů.
Tip: všechny Security Advisory od Corpus Solutions můžete odebírat jako RSS kanál 