Chọn MENU
Hà Nội 0938.086.846 - 0934.666.003
Trang chủ Kiến thức mạng Lỗ hổng Dirty Pipe Linux - Cơ chế hoạt động và cách phòng tránh

Lỗ hổng Dirty Pipe Linux - Cơ chế hoạt động và cách phòng tránh

- Kiến thức mạng - 276 - Nguyễn Lưu Minh

Năm 2022, cộng đồng bảo mật chấn động khi một lỗ hổng nghiêm trọng trong hệ điều hành Linux được phát hiện: Dirty Pipe (CVE-2022-0847). Lỗ hổng này cho phép kẻ tấn công ghi đè dữ liệu vào các tệp chỉ đọc (read-only), dẫn đến leo thang đặc quyền (privilege escalation) và chiếm quyền điều khiển hệ thống. Được đặt tên dựa trên lỗ hổng "Dirty COW" nổi tiếng trước đó, Dirty Pipe nhanh chóng thu hút sự chú ý vì mức độ nguy hiểm và cách khai thác tinh vi. Hãy cùng Việt Tuấn phân tích chi tiết cơ chế hoạt động, tác động của lỗ hổng này đến các thiết bị NAS cũng như cách phòng chống hiệu quả nhất nhé!

lo-hong-dirty-pipe.jpg

Lỗ hổng Dirty Pipe là gì?

Thông tin cơ bản:

  • CVE ID: CVE-2022-0847.
  • Phát hiện bởi: Max Kellermann (tháng 3/2022).
  • Mức độ nghiêm trọng: 7.8 (CVSS v3).
  • Ảnh hưởng: Linux kernel từ phiên bản 5.8 đến 5.16.11, 5.15.25, và 5.10.102.

Dirty Pipe cho phép người dùng thông thường ghi đè dữ liệu vào các tệp mà họ không có quyền chỉnh sửa, bao gồm cả tệp hệ thống như /etc/passwd hoặc tệp nhị phân SUID để có thể chiếm quyền root.

Được đặt tên dựa trên lỗ hổng "Dirty COW" nổi tiếng trước đó, Dirty Pipe (2022) có thể tấn công thông qua hệ thống ống (pipes) và bộ đệm trang (page cache) mà không cần race condition, dễ dàng khai thác hơn.

dirty-pipe.jpg

Cơ chế hoạt động của Dirty Pipe

Để hiểu rõ hơn về Dirty Pipe, chúng ta cần xem xét cách dữ liệu được quản lý trong Linux. Khi một chương trình muốn truy cập vào một tệp, Linux kernel sẽ tạo ra một "pipe" (ống dẫn) để kết nối chương trình đó với tệp. Pipe này cho phép dữ liệu được truyền qua lại giữa chương trình và tệp.

Lỗ hổng Dirty Pipe nằm ở cách Linux kernel xử lý các pipe. Khi một pipe được tạo ra, Linux kernel sẽ không kiểm tra kỹ xem người dùng có quyền ghi vào tệp hay không. Lợi dụng điều này, kẻ tấn công có thể tạo ra một pipe kết nối với một loại file Read-Only, sau đó ghi dữ liệu vào pipe này. Dữ liệu sau đó sẽ được ghi vào tệp, ghi đè lên nội dung ban đầu.

Ảnh hưởng của Dirty Pipe đối với hệ thống

Ảnh hưởng của Dirty Pipe là rất nghiêm trọng. Kẻ tấn công có thể sử dụng lỗ hổng này để:

  • Chiếm quyền hệ thống: Người dùng thông thường có thể leo lên quyền root, cho phép họ thực hiện bất kỳ hành động nào trên hệ thống.
  • Sửa đổi tệp hệ thống: Kẻ tấn công có thể thay đổi các tệp cấu hình hệ thống quan trọng, gây ra sự cố hoặc thậm chí làm hỏng hệ thống.
  • Cài đặt phần mềm độc hại: Kẻ tấn công có thể cài đặt phần mềm độc hại vào hệ thống, cho phép họ đánh cắp dữ liệu, theo dõi người dùng hoặc thậm chí điều khiển hệ thống từ xa.

Lỗ hổng Dirty Pipe ảnh hưởng đến các hệ thống Linux sử dụng kernel từ phiên bản 5.8 trở đi bao gồm cả máy chủ, máy tính để bàn, thiết bị di động và các thiết bị khác. 

Cách khắc phục duy nhất cho lỗ hổng Dirty Pipe là cập nhật Linux Kernel lên phiên bản đã được vá lỗi. Các nhà phát triển Linux lớn đã phát hành các bản cập nhật để khắc phục lỗ hổng này. Người dùng nên cập nhật hệ thống của mình càng sớm càng tốt để tránh bị tấn công.

Tác động của Dirty Pipe lên các thiết bị NAS như thế nào?

Mức độ ảnh hưởng của lỗ hổng này đến các ổ NAS từ các nhà cung cấp máy chủ cá nhân phổ biến thực sự rất đa dạng và phần lớn nguyên nhân nằm ở cách mỗi thương hiệu NAS tận dụng hệ điều hành Linux. 

Cụ thể, các thương hiệu NAS khác nhau sử dụng các hệ điều hành NAS của họ trên các phiên bản nhân Linux (kernel) khác nhau, được cập nhật theo thời gian. Hơn nữa, ngay cả các dòng sản phẩm trong cùng một thương hiệu (do khác biệt về phần cứng và công năng) cũng có thể sử dụng các phiên bản Linux khác nhau. Ví dụ: Synology với DSM, QNAP với QTS, Asustor với ADM,.. Vậy, điều này tác động như thế nào đến từng thương hiệu NAS như thế nào?

NAS Synology

Theo như Việt Tuấn được biết, NAS Synology được cài đặt hệ điều hành DSM 7/7.1 trở lên sẽ không bị ảnh hưởng bởi lỗ hổng Dirty Pipe. Nguyên nhân chính là do DiskStation Manager (DSM) chạy trên nền Linux kernel 4.4 (phiên bản phụ có thể khác nhau tùy dòng NAS). Lỗ hổng này chỉ xuất hiện từ kernel 5.8 trở lên. Ngay cả khi Synology nâng cấp kernel lên phiên bản này trong tương lai, họ cũng sẽ sử dụng bản đã vá để tránh rủi ro. Điều này được Synology khẳng định rõ ràng qua thông báo chính thức trên Reddit:

synology-khong-bi-anh-huong-boi-lo-hong-nay.jpg
"Synology NAS và DSM 7 hoàn toàn không bị ảnh hưởng bởi lỗ hổng này."

Ngoài ra, trang thông báo bảo mật của hãng cũng không đề cập đến Dirty Pipe, cho thấy sự tự tin vào tính ổn định của hệ thống. Synology vốn nổi tiếng cập nhật cảnh báo rất nhanh, nên đây là dấu hiệu đáng tin cậy.

NAS QNAP

Với QNAP, tình hình lại phức tạp hơn. Các hệ thống QTS/QuTS sử dụng Linux kernel cao hơn (5.10.60 cho dòng Prosumer/doanh nghiệp và 4.2.8 cho dòng giá rẻ/ARM). Lỗ hổng này chỉ ảnh hưởng đến kernel từ 5.8 trở lên, nên một số thiết bị NAS QNAP có thể bị tác động. 

Tuy nhiên người dùng cũng cần lưu ý lỗ hổng Dirty Pipe xuất phát từ Linux, không phải do lỗi của QTS/QuTS. QNAP đã nhanh chóng thông báo qua trang Security Advisory, xác nhận các dòng không bị ảnh hưởng (chạy kernel 4.x) và hứa hẹn bản vá sớm cho thiết bị dùng kernel 5.x. Việc vá lỗi sẽ mất thời gian do QNAP cần kiểm tra kỹ trước khi phát hành (hệ điều hành của họ được tùy chỉnh từ nền tảng Linux).

NAS Asustor

Các thiết bị Asustor chạy hệ điều hành ADM 4 không bị ảnh hưởng bởi lỗ hổng Dirty Pipe. Asustor còn chủ động thông báo rõ ràng về điều này trên trang cảnh báo bảo mật của họ. Đây là trường hợp hiếm gặp khi một thương hiệu cập nhật thông tin về một lỗ hổng không hề tác động đến hệ thống của họ. Việt Tuấn hi vọng sẽ thấy nhiều hành động tương tự hơn, bởi ngay cả khi không bị ảnh hưởng bởi lỗ hổng đang được báo cáo rộng rãi, việc minh bạch thông tin giúp người dùng cảm thấy an tâm hơn.

Các biện pháp phòng tránh dính lỗ hổng Dirty Pipe

Ngoài việc cập nhật hệ thống, người dùng cũng nên thực hiện các biện pháp phòng ngừa sau để giảm thiểu nguy cơ bị tấn công:

  • Sử dụng mật khẩu mạnh: Mật khẩu mạnh sẽ giúp bảo vệ tài khoản của bạn khỏi bị xâm nhập.
  • Bật tường lửa: Tường lửa sẽ giúp ngăn chặn các kết nối không mong muốn đến hệ thống của bạn.
  • Cài đặt phần mềm diệt virus: Phần mềm diệt virus sẽ giúp phát hiện và loại bỏ phần mềm độc hại.
  • Cập nhật phần mềm thường xuyên: Việc cập nhật phần mềm thường xuyên sẽ giúp vá các lỗ hổng bảo mật mới nhất.

Tổng kết

Lỗ hổng Dirty Pipe là một lỗ hổng bảo mật nghiêm trọng có thể gây ra những hậu quả nghiêm trọng cho người dùng Linux và ảnh hưởng đến cả một số thiết bị NAS. Người dùng hãy chú ý cập nhật hệ thống và thực hiện các biện pháp bảo mật như thiết lập tường lửa, cài đặt phần mềm diệt virus, sao lưu dữ liệu để bảo vệ hệ thống của bạn khỏi bị tấn công.

Chia sẻ

Nguyễn Lưu Minh

Chuyên gia của Viettuans.vn với nhiều năm kinh nghiệm trong lĩnh vực thiết bị mạng Networks, System, Security và tư vấn, triển khai các giải pháp CNTT. Phân phối thiết bị mạng, wifi, router, switch, tường lửa Firewall, thiết bị lưu trữ dữ liệu NAS.

Bình luận & Đánh giá

Vui lòng để lại số điện thoại hoặc lời nhắn, nhân viên Việt Tuấn sẽ liên hệ trả lời bạn sớm nhất

Đánh giá
Điểm 5/5 trên 1 đánh giá
(*) là thông tin bắt buộc

Gửi bình luận

    • Rất hữu ích - 5/5 stars
      HT
      Huy Tùng - 06/08/2022

      Bài viết hay, rất hữu ích.

    Bài viết liên quan
    Real-time anti-phishing (RTAP): Giải pháp hiệu quả chống lại các mối đe dọa mạng đang phát triển

    Real-time anti-phishing (RTAP): Giải pháp hiệu quả chống lại các mối đe dọa mạng đang phát triển

    Bad Sector là gì? Hướng dẫn kiểm tra Ổ cứng bị Bad Sector trên NAS, Windows

    Bad Sector là gì? Hướng dẫn kiểm tra Ổ cứng bị Bad Sector trên NAS, Windows

    MLO là gì? Tìm hiểu chi tiết về Multi-Link Operation

    MLO là gì? Tìm hiểu chi tiết về Multi-Link Operation

    Cảnh báo ổ cứng Seagate cũ bị ngụy trang thành hàng mới

    Cảnh báo ổ cứng Seagate cũ bị ngụy trang thành hàng mới

    Hotline
    Messenger
    Zalo chát
    0903.209.123
    0903.209.123