Sebagian besar Perangkat NAS QNAP Terkena Kerusakan Linux 'Pipa Kotor'

Posted on by Syauqi Wiryahasana

Kelemahan kernel Linux “Pipa Kotor” – kerentanan dengan tingkat keparahan tinggi di semua distro besar yang memberikan akses root ke pengguna yang tidak memiliki hak yang memiliki akses lokal – mempengaruhi sebagian besar peralatan penyimpanan terpasang jaringan (NAS) QNAP, pabrikan Taiwan itu memperingatkan pada hari Senin.

Dirty Pipe, kerentanan eskalasi hak istimewa lokal yang baru-baru ini dilaporkan, memengaruhi kernel Linux pada QNAP NAS yang menjalankan QTS 5.0.x dan QuTS hero h5.0.x, saran QNAP. Jika dieksploitasi, pengguna lokal yang tidak memiliki hak dapat memperoleh hak istimewa admin dan menyuntikkan kode berbahaya.

Situasinya suram: QNAP mengatakan bahwa hingga kemarin, tidak ada mitigasi.

“Saat ini tidak ada mitigasi yang tersedia untuk kerentanan ini. Kami menyarankan pengguna untuk memeriksa kembali dan menginstal pembaruan keamanan segera setelah tersedia.” –QNAP



Versi pahlawan QTS dan QuTS berikut terpengaruh:
< ul>QTS 5.0.x pada semua NAS berbasis QNAP x86 dan pahlawan NASQuTS berbasis ARM QNAP tertentu h5.0.x pada semua NAS berbasis QNAP x86 dan NAS
berbasis QNAP ARM tertentu NAS yang menjalankan QTS 4.x tidak terpengaruh. Perusahaan mengarahkan pengguna ke daftar lengkap model yang terpengaruh: periksa "Kernel Versi 5.10.60" di tautan ini, katanya dalam penasehatnya.

"QNAP sedang menyelidiki kerentanan secara menyeluruh. Kami akan merilis pembaruan keamanan dan memberikan informasi lebih lanjut sesegera mungkin,” kata penasehat tersebut.

Kedengarannya Seburuk Itu

Peneliti keamanan Max Kellermann dari CM4all menemukan dan melaporkan bug tersebut delapan hari lalu. Dilacak sebagai CVE-2022-0847, kerentanan telah ada di kernel Linux sejak 5.8. Untungnya, kerentanan telah diperbaiki di kernel Linux 5.10.102, 5.15.25, dan 5.16.11. Jika Anda berada pada atau di atas versi itu, Anda baik-baik saja.

Tetapi seperti yang ditunjukkan oleh situs berita Linux Linuxiac, Dirty Pipe tidak hanya mengancam mesin Linux: Karena Android didasarkan pada kernel Linux, perangkat apa pun yang menjalankan versi 5.8 atau kemudian juga rentan, membahayakan banyak orang. Linuxiac menunjuk ke Google Pixel 6 dan Samsung Galaxy S22 sebagai contoh: Ponsel yang sangat populer menggunakan kernel Linux 5.10.43, yang membuat mereka rentan.

Dirty Pipe memungkinkan untuk menimpa data dalam file read-only sewenang-wenang, yang mengarah ke eskalasi hak istimewa karena proses unprivileged dapat menyuntikkan kode ke dalam proses root.

Database Common Vulnerabilities and Exposures (CVE) menggambarkannya sebagai “cacat dalam cara anggota 'flags' dari struktur buffer pipa baru tidak memiliki inisialisasi yang tepat dalam fungsi copy_page_to_iter_pipe dan push_pipe di Linux kernel dan dengan demikian dapat berisi nilai basi.

“Pengguna lokal yang tidak memiliki hak dapat menggunakan kelemahan ini untuk menulis ke halaman di cache halaman yang didukung oleh file hanya baca dan dengan demikian meningkatkan hak istimewa mereka pada sistem,” menurut deskripsi CVE.

“ Jika Anda tidak yakin apa artinya itu, tetapi menurut Anda kedengarannya buruk – Anda benar!” Peneliti intelijen malware MalwareBytes Pieter Arntz menulis pada hari Jumat.

Keiderman menawarkan analisis teknis lengkap dalam posting CM4all-nya. Untuk bagiannya, Arntz memberikan versi TL;DR ini: “Kebingungan di kernel Linux dibuat dengan memanfaatkan halaman caching. Halaman caching adalah salinan sementara file dalam memori sistem yang dibuat untuk mempercepat penanganan file yang sering digunakan. Kerentanan memungkinkan penyerang untuk membuat perubahan pada salinan cache dari file yang seharusnya 'hanya-baca' untuk pengguna tanpa izin root.

“Dengan cara ini, penyerang dapat memperoleh hak akses root, yang pada akhirnya memungkinkan dia untuk mengendalikan sistem yang terpengaruh,” kata Arntz. Masalah Redux

Mike Parkin, insinyur teknis senior di Vulcan Cyber, mengatakan kepada Threatpost pada hari Selasa bahwa kita semua harus berdoa agar QNAP merilis pembaruan kernel dengan cepat. Ini adalah masalah kedua yang dilaporkan oleh vendor perangkat penyimpanan baru-baru ini, Parkin menunjukkan melalui email.

Pada bulan Januari, QNAP memberi tahu pengguna untuk segera mencabut perangkat NAS mereka yang terpapar internet dari internet, karena serangan ransomware dan brute force secara luas menargetkan semua jaringan devices.

“Kerentanan Dirty Pipe memerlukan akses pengguna lokal untuk mengeksploitasi, yang sedikit mengurangi risiko,” Parkin memberikan. Tetapi masalah Pipa Kotor sekali lagi menunjukkan perlunya memastikan perangkat “dikonfigurasi dengan benar, dipelihara, dan digunakan dengan cara yang memenuhi kebutuhan bisnis sambil tetap aman,” katanya.

“Pada akhirnya sistem perlu dikonfigurasi sehingga hanya dapat diakses oleh orang dan sistem yang membutuhkan akses, dan hanya dengan tingkat akses yang diperlukan untuk menyelesaikan pekerjaan,” kata Parkin.

Kedengarannya tepat bagi Hank Schless, manajer senior solusi keamanan di perangkat Lookout.

NAS yang menyediakan penyimpanan dan pengambilan data dari lokasi terpusat untuk pengguna dan klien yang berwenang memungkinkan produktivitas, membawa manfaat komputasi awan di dalam jaringan, kata Schless. Peringatan: Ini juga menimbulkan “risiko serius” jika tidak dilakukan dengan benar, tambahnya.

“Penyerang tidak hanya dapat membahayakan data dalam sumber daya tertentu yang mereka temukan, tetapi mereka juga dapat bergerak secara lateral di sekitar jaringan Anda setelah kompromi awal,” kata Schless Ancaman pada hari Selasa. “Sama seperti tantangan utama dengan VPN, yang memungkinkan akses tak terkendali ke infrastruktur, aset NAS dapat bertindak sebagai batu loncatan bagi pelaku ancaman. Sangat penting untuk dapat mengelompokkan akses ke aplikasi, data, dan sumber daya tertentu untuk memastikan bahwa satu akun atau sumber daya yang disusupi tidak mengarah pada kompromi seluruh infrastruktur. Inilah alasan utama mengapa organisasi menggunakan zero trust network access (ZTNA) sebagai bagian dari postur keamanan modern mereka.”

Impact

Orang-orang telah membandingkan Dirty Pipe dengan Dirty Cow. Itu adalah kerentanan eskalasi hak istimewa sebelumnya (CVE-2016-5195) yang telah ada di Linux selama sembilan tahun – sejak 2007 – ketika mendapat serangan publik terhadap server Linux yang menghadap web pada 2016.

Dirty Pipe mirip dengan Dirty Cow, kecuali bahwa itu lebih buruk: Lebih mudah untuk dieksploitasi, kata Keiderman. Parkin Cyber ​​

Vulcan mencatat bahwa setiap eksploitasi yang memberikan akses tingkat root ke sistem Linux adalah “bermasalah.”

“Seorang penyerang yang memperoleh root mendapatkan kontrol penuh atas sistem target dan mungkin dapat memanfaatkan kontrol itu untuk menjangkau sistem lain,” katanya.

Faktor yang mengurangi kerentanan ini adalah memerlukan akses lokal, yang sedikit menurunkan risiko, kata Parkin. Selain itu, cacat Dirty Pipe telah diperbaiki dalam kode kernel Linux terbaru, dan patch akan segera tersedia untuk distribusi utama.

Peningkatan hak istimewa hanyalah langkah pertama penyerang mendapatkan "kontrol penuh" dari suatu sistem, kata Parkin. “Meningkatkan hak istimewa ke root (keluarga POSIX) atau Admin (Windows) sering kali menjadi prioritas pertama penyerang ketika mereka mendapatkan akses ke sistem, karena memberi mereka kendali penuh atas target dan dapat membantu mereka memperluas pijakan mereka ke korban lain. Itu tidak berubah selama berabad-abad dan tidak mungkin berubah di masa mendatang.”

Shweta Khare, penginjil keamanan siber di Delinea, mengatakan kepada Threatpost bahwa 2022 telah melemparkan beberapa bug serius yang tersebar luas kepada kami, termasuk beberapa kernel Windows, server DNS RCE, dan kerentanan Adobe dengan tingkat keparahan tinggi: bug yang memungkinkan penyerang mendapatkan hak istimewa admin atau sistem lokal yang lebih tinggi.

“Bug OS dan kerentanan tingkat aplikasi tersebut dapat memungkinkan penyerang untuk meningkatkan hak istimewa, bergerak secara lateral di dalam jaringan, mengeksekusi kode arbitrer, dan sepenuhnya mengambil melalui perangkat,” Khare mencatat melalui email.

Pakar keamanan mengatakan bahwa kontainer menawarkan tingkat keamanan yang lebih tinggi, tetapi bahkan mereka tidak sangat mudah: “Insiden baru-baru ini telah menunjukkan bahwa kontainer sering dieksploitasi melalui kerentanan seperti itu,” kata Khare.

“Di sebagian besar organisasi, layanan mikro dan kontainer belum tercakup dalam rencana keamanan perusahaan,” katanya.

Khare menyarankan bahwa manajemen hak istimewa granular adalah salah satu pertahanan untuk meminimalkan paparan risiko jenis serangan siber ini: “Solusi Manajemen Akses Istimewa (PAM) dapat mengamankan arsitektur kontainer untuk mengelola hak akses pengguna dan hak istimewa secara terpusat ke host Linux Docker, termasuk host yang menjalankan CoreOS Container Linux, ” jelasnya. “Praktik terbaik adalah menerapkan otentikasi multi-faktor (MFA) dan eskalasi hak istimewa sementara untuk mendapatkan akses ke masing-masing wadah dan host wadah. Mengaktifkan manajemen hak istimewa granular di platform container dan lapisan sistem operasi container di seluruh lingkungan pengembangan memberikan opsi terbaik untuk keamanan container.”​​

Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang kuat tentang cara mempertahankan aset Anda dengan eBook GRATIS kami yang dapat diunduh, “Cloud Security: The Forecast for 2022.” Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keamanan sukses dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:
  • Newsliu < ul>iKerentananliu
      iKeamanan Web

    • TENTANG EMKA.WEB>ID

    EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

    ©2024 emka.web.id Proudly powered by wpStatically