Hace un par de días que la noticia de la existencia de una vulnerabilidad en las distribuciones Linux está dando la vuelta al mundo. Esto es debido a que explotando este bug se podría tomar el control del sistema operativo afectado remotamente y no de una manera demasiado complicada. Esta vulnerabilidad se ha bautizado como Ghost y debes preocuparte por erradicarla de todos tus sistemas operativos, y que como vas te va llevar cierto trabajo.
Figura 1: Ghost: Por qué debes preocuparte por parchear tus Linux |
Un CVE con CVSS de nivel 10
El bug está en la librería glibc, utilizada masivamente por las distribuciones *NIX*, en todas las versiones que van desde la 2.2 de Noviembre del año 2000 hasta la 2.18 de Agosto del 2013 donde fue parchada. El bug en concreto se encuentra en la función __nss_hostname_digits_dots() alcanzable desde las funciones gethostbyname(), gethostbyname2(), gethostbyname_r() y gethostbyname2_r() que la llaman y que son utilizadas para obtener contra un DNS la resolución de un nombre de dominio y donde se encuentra el Buffer Overflow de Ghost que puede ser explotado forzando la resolución de un nombre concreto.
Figura 2: CVE-2015-0235 relativo a Ghost. Tiene un CVSS 10 |
El uso de estas funciones es muy común y en una gran cantidad de entornos se puede acceder al Buffer Overflow remotamente, así que al bug que ha recibido el CVE-2015-0235 se le ha puesto un nivel de importancia de CVSS de 10, es decir, el máximo nivel de criticidad.
Para conseguir llegar al bug, el nombre que hay que introducir es un nombre de dominio de más de 1KB para alcanzar el Buffer Overflow, hacer que el nombre comience con un número y que esté construido enteramente de números y puntos. Una vez conseguido llegar al bug, hay que conseguir un exploit para Linux que sea capaz de ejecutar un payload en el sistema. Los investigadores de Qualys - empresa descubridora del bug - han hecho una prueba de concepto para explotar un servidor Linux con EXIM Mail remotamente. Con este sencillo exploit de la imagen superior se puede tumbar el proceso de EXIM MTA (Mail Transport Agent) alcanzando el Buffer Overflow que está en el código vulnerable
Plataformas afectadas
Como se ha dicho antes, el bug se arregló en glibc 2.18 en Agosto de 2013, pero como el parche no fue marcado como de seguridad o crítico, muchas de las distribuciones Linux no la aplicaron hasta que se ha hecho pública Ghost, momento en que han salido parches críticos de casi todas las distribuciones. En el blog de Matasano se han recogido las principales distribuciones Linux afectadas - que no todas - para que estés alerta si tienes una de ellas.
El problema es que no solo estas distribuciones pueden ser afectadas, y muchas otras de routers, switches o Access Point WiFi pueden ser vulnerables también, por lo que debes ir sistema operativo de dispositivo por sistema operativo de dispositivo averiguando exactamente qué versión de glibc tienes instalada en él. Recuerda, este es un CVE con un CVSS de 10, lo que significa criticidad máxima en el mundo de la seguridad informática, y por tanto debes asegurarte de que todos tus sistemas operativos de todas tus plataformas quedan correctamente actualizados cuanto antes.
Saludos Malignos!
Empezamos fuerte la mañana... Menuda p***da. A sabiendas que (casi) todos los bugs son perjudiciales, ¿es éste peor que HeartBleed o ShellShock?
ResponderEliminarY en Android, ¿estamos exentos del bug o nos quedaremos sin parche?
Soy un noob de mucho cuidao, aunque quiero involucrarme en esto.
ResponderEliminarUna introducción rápida a gdb con PEDA para poder verlo sería la hostia.
El asignado es CVE-2015-0235.
ResponderEliminar¡Saludos!
Debian Squeeze LTS tambien tiene parche al poco de sacarlo en Debian Wheezy.
ResponderEliminarUna buena acción por parte del equipo LTS .
Un Saludo
Salvados por la campana ;-)
ResponderEliminarLinux Mint 17.1 Rebeeca x64.bits
Muchas por la info Dr.Maligno, Saludos!