viernes, enero 30, 2015

Ghost: Por qué debes preocuparte por parchear tus Linux

Hace un par de días que la noticia de la existencia de una vulnerabilidad en las distribuciones Linux está dando la vuelta al mundo. Esto es debido a que explotando este bug se podría tomar el control del sistema operativo afectado remotamente y no de una manera demasiado complicada. Esta vulnerabilidad se ha bautizado como Ghost y debes preocuparte por erradicarla de todos tus sistemas operativos, y que como vas te va llevar cierto trabajo.

Figura 1: Ghost: Por qué debes preocuparte por parchear tus Linux

Un CVE con CVSS de nivel 10

El bug está en la librería glibc, utilizada masivamente por las distribuciones *NIX*, en todas las versiones que van desde la 2.2 de Noviembre del año 2000 hasta la 2.18 de Agosto del 2013 donde fue parchada. El bug en concreto se encuentra en la función __nss_hostname_digits_dots() alcanzable desde las funciones gethostbyname(), gethostbyname2(), gethostbyname_r() y gethostbyname2_r() que la llaman y que son utilizadas para obtener contra un DNS la resolución de un nombre de dominio y donde se encuentra el Buffer Overflow de Ghost que puede ser explotado forzando la resolución de un nombre concreto. 

Figura 2: CVE-2015-0235 relativo a Ghost. Tiene un CVSS 10

El uso de estas funciones es muy común y en una gran cantidad de entornos se puede acceder al Buffer Overflow remotamente, así que al bug que ha recibido el CVE-2015-0235 se le ha puesto un nivel de importancia de CVSS de 10, es decir, el máximo nivel de criticidad.

Figura 3: Explotación del Buffer Overflow en EXIM MTA

Para conseguir llegar al bug, el nombre que hay que introducir es un nombre de dominio de más de 1KB para alcanzar el Buffer Overflow, hacer que el nombre comience con un número y que esté construido enteramente de números y puntos. Una vez conseguido llegar al bug, hay que conseguir un exploit para Linux que sea capaz de ejecutar un payload en el sistema. Los investigadores de Qualys - empresa descubridora del bug - han hecho una prueba de concepto para explotar un servidor Linux con EXIM Mail remotamente.  Con este sencillo exploit de la imagen superior se puede tumbar el proceso de EXIM MTA (Mail Transport Agent) alcanzando el Buffer Overflow que está en el código vulnerable

Plataformas afectadas

Como se ha dicho antes, el bug se arregló en glibc 2.18 en Agosto de 2013, pero como el parche no fue marcado como de seguridad o crítico, muchas de las distribuciones Linux no la aplicaron hasta que se ha hecho pública Ghost, momento en que han salido parches críticos de casi todas las distribuciones. En el blog de Matasano se han recogido las principales distribuciones Linux afectadas - que no todas - para que estés alerta si tienes una de ellas.

Figura 4: Lista de distribuciones Linux afectadas (y no) por Ghost

El problema es que no solo estas distribuciones pueden ser afectadas, y muchas otras de routers, switches o Access Point WiFi pueden ser vulnerables también, por lo que debes ir sistema operativo de dispositivo por sistema operativo de dispositivo averiguando exactamente qué versión de glibc tienes instalada en él. Recuerda, este es un CVE con un CVSS de 10, lo que significa criticidad máxima en el mundo de la seguridad informática, y por tanto debes asegurarte de que todos tus sistemas operativos de todas tus plataformas quedan correctamente actualizados cuanto antes.

Saludos Malignos!

6 comentarios:

Carlos González Recio dijo...

Empezamos fuerte la mañana... Menuda p***da. A sabiendas que (casi) todos los bugs son perjudiciales, ¿es éste peor que HeartBleed o ShellShock?

Y en Android, ¿estamos exentos del bug o nos quedaremos sin parche?

Anónimo dijo...

Soy un noob de mucho cuidao, aunque quiero involucrarme en esto.
Una introducción rápida a gdb con PEDA para poder verlo sería la hostia.

Anónimo dijo...

El asignado es CVE-2015-0235.

¡Saludos!

Anónimo dijo...

Debian Squeeze LTS tambien tiene parche al poco de sacarlo en Debian Wheezy.
Una buena acción por parte del equipo LTS .
Un Saludo

Jonathan Novel dijo...

Salvados por la campana ;-)
Linux Mint 17.1 Rebeeca x64.bits
Muchas por la info Dr.Maligno, Saludos!

Juan Txonta dijo...

Ese Malkavian, saludos.
Me esta costando pero creo que aunque sea arrastras lo tengooo ...
juan@txonta1:/$ ./ghost-vulnerability.sh
not vulnerable
Bieeen. El .sh es de aquí: http://www.turnkeylinux.org/blog/ghost-cve-2015-0235
juan@txonta1:/$ dpkg -l | grep "Embedded GNU C Library"
ii libc-bin 2.11.3-4+deb6u4
EXITO!!!
He tenido que añadir un par de lineas al sources-list. Y ahora tengo esto espero que no dé problemas:

deb http://ftp2.de.debian.org/debian/ squeeze main
deb-src http://ftp2.de.debian.org/debian/ squeeze main

deb http://security.debian.org/ squeeze/updates main
deb-src http://security.debian.org/ squeeze/updates main

deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

Entrada destacada

Joinnovation & KeepCoding Connect: 2 Eventos para DOERS en #Madrid

Ayer fue el día de ver los proyectos de EQUINOX , el hackathon de ElevenPaths donde durante 24 horas se lanzan proyectos que normalmente ...

Entradas populares