Falha no Linux atingia até mesmo celulares com Android

Uma brecha grave na plataforma Linux permite a alteração de arquivos sensíveis do sistema operacional, possibilitando a modificação de dados e, principalmente, de controles de acesso a usuários do sistema operacional. A vulnerabilidade ficou conhecida como Dirty Pipe e atinge todos os kernels do sistema a partir da versão 5.8, o que faz com que a falha também esteja presente em celulares com o Android.

• Uso de APIs em ataques cibernéticos aumentou mais de 600% em 2021
• OTAN completa testes de sistema de segurança usando computação quântica

Apesar da gravidade da falha, também se trata de uma situação em que apenas sistemas desatualizados estão vulneráveis. A brecha foi descoberta pelo especialista em segurança Max Kellerman e já está corrigida em diferentes distribuições do Linux e também no Android, mas segue sendo um perigo, principalmente, para empresas que tenham servidores rodando versões defasadas do software.

Na exploração relacionada à vulnerabilidade CVE-2022-0847, um atacante é capaz de alterar dados ou inserir informações em arquivos somente para leitura, inclusive aqueles que funcionam na raiz do sistema operacional. A partir daí, seria possível injetar diferentes tipos de dados ou rotinas, principalmente aquelas focadas na mudança de controles de acesso ou permissões, liberando usuários sem privilégios de administração a realizarem alterações profundas, por exemplo.

Uma prova de conceito apresentada pelo pesquisador em segurança Phith0n, por exemplo, demonstrou como o Dirty Pipe poderia ser usado para modificar o armazenamento de senhas, apagando as credenciais de um usuário com acesso à raiz do sistema. A partir daí, um atacante sem os devidos privilégios poderia manipular a conta, executar scripts ou realizar outras ações maliciosas.

O temor é quanto ao uso das aberturas para a instalação de ransomware e outras pragas, principalmente pelas similaridades entre o Dirty Pipe e outra brecha semelhante, a Dirty Cow, descoberta e mitigada no final de 2016. A ideia é que métodos semelhantes possam ser utilizados por criminosos agora, principalmente que provas de conceito e detalhes da vulnerabilidade foram revelados ao público.

A brecha foi revelada a desenvolvedores em fevereiro, com kernels do Linux a partir das versões 5.10.102, 5.15.25 e 5.16.11 não mais permitindo a exploração. O mesmo também vale para o sistema operacional Android, com a recomendação, agora, sendo de atualização veloz para empresas e instituições que utilizem a plataforma, principalmente no caso de universidades, serviços de nuvem e hospedagem que permitam o acesso dos usuários aos servidores por meio do console.

Fonte: Max Kellerman, Bleeping Computer