Linux高危漏洞爆发 | 红鲸自动化应急响应协同处置案例

众智维安 2022-03-14

1231

点击蓝字关注我们

产品漏洞描述

３月７日，研究人员公开披露了Linux 内核中的一个权限提升漏洞（CVE-2022-0847，也称为“Dirty Pipe”），允许非特权用户注入和覆盖任意只读文件中的数据，导致权限提升，并最终获得root权限。该漏洞影响了 Linux Kernel 5.8 及更高版本，甚至影响了Android设备。

CVE ID	CVE-2022-0847	时间	2022-03-07
类型	LPE	等级	严重
远程利用	否	影响范围
攻击复杂度	低	用户交互	否
PoC/EXP	已公开	在野利用

漏洞危害

攻击者通过利用此漏洞，可使用非特权用户重写任意可读文件中的数据，从而可将普通权限的用户提升到root权限。

漏洞评级

严重

影响版本

受影响版本：

Linux Kernel版本 >= 5.8

Linux Kernel版本< 5.16.11 5.15.25 5.10.102

安全版本：

Linux Kernel版本 >= 5.16.11

Linux kernel版本 >= 5.15.25

Linux kernel版本 >= 5.10.102

漏洞处置

在漏洞处置、应急响应、安全运维等网络安全领域，南京众智维信息科技有限公司自研红鲸安全协同响应平台，产品以SOAR自动化编排为核心，辅以人机协同，实现企业和组织的高效自动化安全运维。

5.1

红鲸安全协同响应平台支持定时剧本执行（例如每5分钟执行一次），第一时间自动监测威胁情报，发现威胁后自动发起公告，通知到相应负责人。

5.2

负责人收到新漏洞CVE-2022-0847通知后，判断漏洞的严重程度为高危，创建任务（漏洞排查专项任务），配套创建了剧本。然后通过资产列表，并行调用剧本，获得每个资产的判定结果。

5.3

收到通知的资产所属人进行漏洞排查并确认存在漏洞的资产。

查看内核版本、当前用户信息，执行命令 uname –r

下载漏洞利用脚本，并进行脚本编译：

gcc dirtypipez.c -o exp

查看具有SUID 权限的文件，然后利用该文件提权，如提权成功，则代表存在漏洞

find / -perm -u=s -type f 2>/dev/null

./exp /usr/sbin/pppd

5.4

对存在漏洞的服务器打补丁，并自查。

目前，已发布新版本完成漏洞修复，建议用户尽快进行自查，并及时升级至最新版本。

参考地址：

https://www.kernel.org/

https://kernel.ubuntu.com/~kernel-ppa/mainline/

5.5

事件处理完毕后，编写报告，提交审核。至此，整个漏洞预警应急处置事件全部处理完成。

关于麒麟安全实验室

麒麟安全实验室（原OPENX实验室）成立于2019年，是众智维科技旗下专注安全对抗前沿技术研究的专业团队。实验室以攻防基础理论框架、先进攻防技术AI推理、安全能力发展体系为主要研究方向。实验室成立以来多次承接国家级网络安全科研课题，牵头相关标准编制。有关网络安全政策、体系方面的研究成果被多个省市、行业列入“十四五规划“之中。实验室多次为省部级大型攻防演练提供平台运营和裁判管理服务，是工信部网络安全试点示范项目大规模攻防运营管理方向的牵头单位，是国家计算机网络与信息安全管理中心科研项目合作单位，CNCERT省级支撑单位，南京市网络安全应急技术支撑单位，CNNVD三级支撑单位，CNVD支撑单位。

关于众智维科技

南京众智维信息科技有限公司于2015年2月成立于南京，公司是以国内知名的麒麟安全实验室（原OPENX实验室）为基础建立的网络安全软件研发创新企业，是“创业南京优秀人才项目”、“南京市创新企业家培育项目”、“双软企业”和“国家高新技术企业”。短短两年内接连获得两轮南京市政府、国资背景基金上千万投资。拥有多项核心专利，近30项软件著作权。众智维科技坚持“众智创新重塑安全生态、AI运营赋能网信安全“，通过持续建设体系化的攻防管理运营平台，集网络安全实战与演练、技术培训与指南、体系研发与应用为一体，可以为所有网络安全需求方提供服务。主营业务包括演练保障、安全管理运维、流量分析、端点防护、SOAR、AI/ML、重保支持、安全集成等。

众智维安

linux

文章转载自众智维安，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。

Linux高危漏洞爆发 | 红鲸自动化应急响应协同处置案例

评论