「ダーティパイプ」エクスプロイトは、LinuxまたはAndroidユーザーにルート権限を付与します

Androidを含む5.8以降のすべてのカーネルに影響を与えるLinuxの脆弱性が、セキュリティ研究者のMaxKellerman によって明らかにされました。ダーティパイプとして知られ、読み取り専用ファイルのデータの上書きを可能にし、ルートプロセスへのコードの挿入を介して特権の昇格につながる可能性があります。

正しくCVE-2022-0847と呼ばれるダーティパイプは、Linuxカーネルのメモリサブシステムのコピーオンライト（COW）メカニズムを標的とした2016年のダーティCOWの脆弱性に似ています。読み取り専用のマッピングを書き込み可能なマッピングに変え、他のエクスプロイトと組み合わせてルートアクセスを実現することができます。

対照的に、Dirty Pipeは、カーネル開発者のBinni Shahがすばやく作成してTwitterに投稿するなどの概念実証により、悪用が容易です。セキュリティ研究者のPhith0nは、パスワードなしでrootアカウントを残すプロセスを改善しました。

名前の「パイプ」の部分は、単方向のプロセス間通信用のツールを指し、最初の書き込みに1ページ（4kb）のメモリが割り当てられます。splice（）を使用してファイルからパイプにデータを追加すると、ページキャッシュに書き込まれ、そこから、適切に準備された新しいデータをパイプに書き込むだけでキャッシュを上書きできます。

Linuxでは、「ダーティ」はページがディスク書き込みを待機していることを意味し、ページがダーティでない限り、ページキャッシュはディスクに書き込みません。データを上書きしてもページがダーティになることはないため、ページはメモリキャッシュに残り、適切に準備されたエクスプロイトデータをパイプで送信できます。パイプへの書き込みはアクセス許可をチェックしないため、誰でもチェックできます。ディスクに書き込まれたことがないため、再起動時に消える特権の昇格が許可される可能性があります。

「この脆弱性をさらに面白くするために、書き込み権限がなくても機能するだけでなく、不変のファイル、読み取り専用のbtrfsスナップショット、および読み取り専用のマウント（CD-ROMマウントを含む）でも機能します。これは、ページキャッシュが常に（カーネルによって）書き込み可能であり、パイプへの書き込みがアクセス許可をチェックしないためです。」

Kellermanは、顧客のWebサーバーアクセスログを破壊していたバグを調査した後、この脆弱性を発見しました。この脆弱性は悪用するのは簡単ですが、ルート化されているマシンに物理的にアクセスする必要があるため、ネットワークやマルウェアを介して配信されるマシンよりも展開が困難になります。

Kellermanは2月にバグレポート（およびパッチ）をLinuxカーネルセキュリティチームに送信し、3日後に修正が発行されました。Googleはほぼ同時にAndroidカーネルに修正を追加しました。この脆弱性は、Linux 5.16.11、5.15.25、および5.10.102で修正されています。