En los últimos días, varios proveedores de seguridad publicaron blogs sobre la explotación basada en Linux (CVE-2022-0847), también conocida como Dirty Pipe. El equipo de Elastic Security Research está compartiendo la primera investigación detallada para ayudar a las organizaciones a encontrar y alertar sobre la explotación con productos de Elastic Security. 

Publicamos esta investigación para que los usuarios puedan defenderse, ya que se ha compartido muy poca información sobre la detección real de intentos de explotación. Publicaremos más en este blog a medida que se identifiquen nuevos hallazgos en la comunidad. 

¿Qué es la tubería sucia? 

CVE-2022-0847 es una vulnerabilidad de escalada de privilegios locales de Linux, descubierta por el investigador de seguridad Max Kellermann, que aprovecha la forma en que el kernel de Linux administra los archivos de página y las canalizaciones con nombre que permiten sobrescribir datos en archivos de solo lectura.

¿Como funciona?

La vulnerabilidad se puede explotar debido a una falla en la nueva estructura de búfer de tubería donde un miembro de la bandera carecía de la inicialización adecuada y luego podría contener un valor obsoleto. Esto podría usarse para escribir en páginas dentro de la memoria caché de la página detrás de archivos de solo lectura, lo que permite la escalada de privilegios. Dada la naturaleza específica de esta vulnerabilidad, la detección puede ser bastante difícil.

La investigación de Elastic sobre Dirty Pipe demuestra cómo se puede detectar la vulnerabilidad a través de Auditd, qué contramedidas se pueden usar una vez detectada y cómo responder a este exploit usando Elastic Security. 

Si no ha probado la solución de Elastic Security, consulte nuestras guías de inicio rápido (videos de capacitación breves para comenzar rápidamente) o nuestros cursos gratuitos de capacitación básica . 

Siempre puedes comenzar con una prueba gratuita de 14 días de Elastic Cloud . O descarga gratis la versión autogestionada del Elastic Stack.