Когда-нибудь это должно было случиться. Худшая уязвимость Linux за последние 6 лет поразила два популярных телефона. Владельцам QNAP - приготовиться!
Пользователь Fire30 успешно использовал критическую уязвимость Dirty Pipe в Linux для полного рута двух моделей Android-телефонов - Pixel 6 Pro и Samsung S22 - взлом, который демонстрирует возможности использования недавно обнаруженного недостатка ОС.
Выбор на эти модели пал не случайно: это два из немногих - если не единственных - устройства, работающих под управлением Android версии 5.10.43, единственной версии мобильной ОС Google, уязвимой к Dirty Pipe. Поскольку уязвимость LPE, или локальное повышение привилегий, была представлена только в недавно вышедшей версии 5.8 ядра Linux, вселенная устройств, которые можно использовать - будь то мобильные устройства, Интернет вещей или серверы и настольные компьютеры - относительно невелика.
Вот, обратная оболочка с привилегиями root
Но для устройств, на которых установлены затронутые версии ядра Linux, Dirty Pipe предлагает хакерам - как доброжелательным, так и злонамеренным - платформу для обхода обычных средств контроля безопасности и получения полного root-контроля. Отсюда вредоносное приложение может тайно похитить учетные данные аутентификации, фотографии, файлы, сообщения и другие важные данные. Как уже сообщалось ранее, Dirty Pipe - одна из самых серьезных угроз Linux, раскрытых с 2016 года, когда стало известно о другом серьезном и легко эксплуатируемом недостатке Linux под названием Dirty Cow.
Android использует такие механизмы безопасности, как SELinux и "песочница", которые часто делают эксплойты трудными, если не невозможными. Несмотря на трудности, успешный root Android показывает, что Dirty Pipe является жизнеспособным вектором атаки на уязвимые устройства.
Валентина Пальмиотти, ведущий исследователь безопасности в компании Grapl:
"Это интересно, потому что большинство уязвимостей ядра Linux не пригодятся для эксплуатации Android. Эксплойт примечателен тем, что за последние годы было всего несколько публичных LPE для Android (сравните с iOS, где их было очень много). Однако, поскольку он работает только на ядрах 5.8 и выше, он ограничен двумя устройствами, которые мы видели в демонстрации".
В видеодемонстрации, опубликованной в Twitter, специалист по безопасности, попросивший называть его только по имени Fire30, запускает написанное им приложение сначала на Pixel 6 Pro, а затем на Samsung S22. Через несколько секунд на компьютере, подключенном к той же сети Wi-Fi, открывается обратная оболочка, предоставляющая полный root-доступ. Получив доступ, пользователь может обойти большинство средств защиты, встроенных в Android.
Достигнутый root привязан, что означает, что он не может пережить перезагрузку. Это означает, что любителям, желающим получить root на своих устройствах, чтобы они имели недоступные обычно возможности, придется выполнять процедуру каждый раз при включении телефона, что является непривлекательным для многих поклонников root. Исследователи, однако, могут найти эту технику более ценной, поскольку она позволяет им проводить диагностику, которая иначе была бы невозможна.
Но, возможно, наибольший интерес будет проявлен людьми, которые попытаются установить вредоносные программы. Как показано на видео, атаки могут быть быстрыми и незаметными. Все, что требуется, - это локальный доступ к устройству, обычно в виде запуска вредоносного приложения. Даже если количество уязвимых устройств относительно невелико, нет сомнений в том, что Dirty Pipe можно использовать для их тщательной компрометации.
Кристоф Хебейзен, руководитель отдела исследований безопасности в компании Lookout, специализирующейся на мобильной безопасности:
"Это очень надежный эксплойт, который будет работать без настройки на всех уязвимых системах. Это делает его весьма привлекательным эксплойтом для злоумышленников. Я ожидаю, что появятся версии эксплойта с оружием, и они будут использоваться в качестве предпочтительного эксплойта при встрече с уязвимым устройством, поскольку эксплойт надежен. Кроме того, он вполне может быть включен в инструменты рутинга для пользователей, рутирующих свои собственные устройства".
Вполне логично, что другие типы устройств, работающих под управлением уязвимых версий Linux, также могут быть легко рутированы с помощью Dirty Pipe. В понедельник производитель устройств хранения данных QNAP заявил, что некоторые из его NAS-устройств затронуты уязвимостью, и что инженеры компании находятся в процессе изучения того, как именно. В настоящее время компания QNAP не располагает никакими средствами защиты и рекомендует пользователям проверять и устанавливать обновления безопасности, как только они станут доступны.
Обход SELinux
Видео впечатляет еще по одной причине: легкость, с которой эксплойт обходит SELinux. Сокращенно от Security-Enhanced Linux, эта защита предназначена для расширения защиты, обеспечиваемой традиционной "песочницей", которая предотвращает доступ одного приложения к данным, связанным с другими приложениями или чувствительными частями ОС.
Первоначально разработанный программистами из Агентства национальной безопасности (АНБ), SELinux применяет гораздо более тонкую серию обязательных политик контроля доступа. Помимо прочего, SELinux ограничивает возможности приложения или процесса и позволяет присваивать разный уровень доверия каждому приложению. Он также диктует, к каким данным приложение может получить доступ внутри своего ограниченного домена.
Fire30 рассказал, что "превратить это в чтение и запись ядра немного сложно". И все же, когда обратная оболочка, показанная в видео, отображает слово "permissive", это означает, что применение политики SELinux было полностью отключено. Отключение этой защиты осуществляется не эксплойтом Dirty Pipe, а, по словам Fire30, "частными методами, которые я не хочу обнародовать".
Кристоф Хебейзен, руководитель отдела исследований безопасности в компании Lookout:
На мой взгляд, интересная часть того, что сделал Fire30, заключается в том, как SELinux был переключен в разрешительный режим. Это то, на что он ссылается, говоря, что "превратить это в чтение и запись ядра немного сложно". Но поскольку он, очевидно, преуспел в этом, корневая оболочка, по крайней мере, выглядит полностью разблокированной".
В электронном письме представитель Google сообщил, что инженеры Android знают об уязвимости и уже предоставили производителям устройств информацию о том, как ее устранить. О сроках выпуска исправления пока ничего не сообщается. Скорее всего, обновление станет доступно в начале следующего месяца, когда Google выпустит очередной запланированный бюллетень безопасности для определенного числа устройств.
По определению, LPE требуют доступа к уязвимому устройству либо в виде физического владения, либо в виде вредоносного приложения, либо в сочетании с другим успешным эксплойтом. Для пользователей Android это означает, что наиболее вероятным способом будет внедрение эксплойта в приложение, доступное в Google Play или на стороннем рынке.
Как всегда, пользователи Android должны быть осторожны при принятии решения об установке того или иного приложения. Известные приложения, такие как Reddit или The New York Times, и приложения от известных компаний, таких как Twitter и Google, как правило, безопасны. Приложения от менее известных разработчиков требуют более тщательного изучения, включая чтение отзывов пользователей и проверку необходимых разрешений.
