【安全预警】泰合伏羲实验室针对最新Linux内核提权漏洞的应急处置指引
关键词:启明星辰 泰合 TSOC 盘古 漏洞预警 关联分析 ATT&CK
2022年3月7日,泰合伏羲实验室获得Linux 内核中的一个权限提升漏洞(CVE-2022-0847)漏洞情报,并在第一时间就对 “Dirty Pipe脏管”漏洞的分析研判,结合泰合盘古平台(THPangu-OS)的底座能力,为广大用户给出应急处置指引方案。
2022年3月7日,安全研究人员发现Linux 内核中的一个权限提升漏洞,并于2022-03-08 14:31披露了此权限提升漏洞(CVE-2022-0847)。泰合伏羲实验室就此“Dirty Pipe”命名为“脏管”漏洞。
该漏洞允许非特权用户注入和覆盖任意只读文件中的数据,导致权限提升,并最终获得root权限。该漏洞影响了Linux Kernel 5.8 及更高版本,甚至影响了Android设备。CVE-2022-0847漏洞类似于2016 年修复的Dirty COW 漏洞(CVE-2016-5195),但它更容易被利用,目前此漏洞的PoC/EXP已经发布。
1、漏洞危害影响
2、漏洞分析及验证
该漏洞的限制条件如下:
要利用此漏洞需做到如下几点:
2、修复方案建议
目前此漏洞已经在Linux 内核5.16.11、5.15.25 和5.10.102 中修复。鉴于此漏洞很容易利用以获得root权限,且漏洞利用已经公开,建议受影响用户及时升级更新。
下载链接:https://kernel.org/
对于使用了启明星辰泰合安全管理与态势感知平台、漏洞扫描产品、配置核查产品、泰合SOAR产品的用户而言,应对该漏洞引发的风险将较为从容。启明星辰泰合安全管理与态势感知平台是一套以完全场景化为基础,以满足实战化为目的,以威胁为驱动手段,帮助用户建立监测预警、态势评估、响应处置的安全运营平台。针对这次“Linux Dirty Pipe权限提升漏洞(CVE-2022-0847)”高危漏洞,泰合伏羲实验室如下操作建议:
建议1、执行漏洞扫描,排查受影响资产
启明星辰漏洞扫描产品和基线核查产品在第一时间对此漏洞进行了紧急响应,并提供漏洞扫描和消控方案。
天镜脆弱性扫描与管理系统已于2022年3月8日紧急发布针对该漏洞的升级包,支持对该漏洞进行原理扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
https://venustech.download.venuscloud.cn/
建议2、执行配置核查系统,排查配置缺陷
安全配置核查管理系统已于2022年3月8日紧急发布针对该漏洞的核查资源包,支持对该漏洞进行核查,用户升级安全配置核查管理系统资源包后即可对该漏洞进行核查:
适建议3、基于泰合盘古底座的安管和态感平台进行关联分析
广大用户可以通过泰合安全管理和态势感知平台,分析策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“Linux Kernel本地提权漏洞”的漏洞利用攻击和权限提升的行为。
1)在启明星辰泰合的平台中,通过脆弱性发现功能针对“Linux DirtyPipe权限提升漏洞(CVE-2022-0847)”执行漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产;
2)平台“关联分析”模块中,添加“L2_ADS_Linux_DirtyPipe_可疑行为” ,通过启明星辰检测设备、目标主机系统等设备的告警日志,发现外部攻击行为:
建议4、基于泰合盘古技术底座,构建SOAR剧本,响应处置
通过泰合安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对“L3_ADS_Linux_DirtyPipe_权限提升”告警事件编排剧本,进行自动化处置。配置SOAR自动响应剧本配置如下:
SOAR剧本设计思路是结合ATT&CK框架,Linux DirtyPipe权限提升漏洞属于ATT&CK的Privilege Escalation战术阶段(TA0004),从攻击技术特点来看,兼具T1068 Exploitation for Privilege Escalation(提权利用)和T1055 Process Injection(进程注入)的技术特点,攻击者会利用linux内核本身编程错误来执行攻击者控制的代码,向根进程中注入代码,导致提权事件发生。
特别需要强调的是:
针对泰合安全管理和态势感知平台采用非盘古底座版本的客户,可以参考“建议3”内容进行关联规则配置。同时部署泰合SOAR(TSOC-IOS)产品客户,可以参考“建议4”内容,进行剧本编排。
伏羲实验室秉持以客户需求为导向、知识赋能的核心理念,面向泰合全系列产品实战化落地提供产品基础知识研究和开发,构建靶场环境验证防护策略有效性、推进产品行业化落地,进而实现产品的设计闭环,提供持续的安全运营能力,为平台类产品、工具类产品提供基础数据能力支撑、核心知识能力构建、智能化、场景化知识输出。
泰合先后发布研究报告数篇,包括业界很有影响力的《Dirty Pipe“赃管泰合响应报告》、《“核弹级”漏洞Apache Log4j2席卷全球泰合响应报告》、《“核弹级”漏洞Apache Log4j2二次分析泰合响应报告》、《某政府单位Wannacry变种病毒事件应急响应报告》、《一大波僵尸来袭TSOC出征海外事件分析报告》、《Anonymous黑客组织的应急响应报告》、《乌克兰Black Energy黑暗力量事件分析报告》等专业响应报告。
•
END
•