Незваный Ghost: Насколько опасна новая критическая уязвимость Linux-серверов

27 января компания Qualys, специализирующаяся на ИТ-безопасности, опубликовала информацию об уязвимости Ghost, потенциально позволяющей злоумышленникам получить доступ к удалённому Linux-серверу. Степан Ильин, директор по продуктам Wallarm и экс-главред журнала «Хакер», попытался простыми словами объяснить, в чём суть проблемы и насколько она опасна для рунета.

Незваный Ghost: Насколько опасна новая критическая уязвимость Linux-серверов

Нынче уязвимостям модно давать названия и рисовать картинки. До этого были Heartbleed, Shellshock, Poodle — сегодняшнюю уязвимость, позволяющую удаленно захватить контроль над Linux-серверами, назвали GHOST. Стоит ли обращать на нее внимание?

# Без хардкора

В споре Windows vs. OS X мало кто вспоминает, что в качестве ОС для работы можно использовать Linux (хотя у любого программиста немало таких друзей) — но именно на этой операционке построена инфраструктура большинства интернет-компаний. Linux-сервера — везде. Что дает уязвимость GHOST? Вообще говоря, многое: удаленно захватить над ними контроль.

Хорошая новость в том, что компания Qualys, которая обнаружила и рассказала об уязвимости, не стала публиковать так называемый эксплоит. Для понимания: сама ошибка — это просто ошибка, даже самая опасная. Чтобы извлечь из ее толк, нужно знать, как ее эксплуатировать. Ну, или не знать — если утилиту для экплуатации (тот самый эксплоит) кто-то подготовил за тебя. Тогда можно просто взять скриптик, указать IP-адрес и получить доступ к командной строке, скажем, ЦП. К счастью, в публичном доступе эксплоита пока нет и массовый захват серверов отменяется.

Надо ли что-то делать? Рекомендация простая. Будучи серьезной компаний, Qualys заранее уведомила разработчиков дистрибутивов, а потому уже сейчас есть патчи. Если в вашей инфраструктуре используется Linux — убедитесь, что админ не забыл установить обновления (а он может!). Ну, чтобы вдруг с ваших серверов не пошла DDoS-атака или миллионами внезапно утекших в результате взлома учетных записей не заинтересовался Роскомнадзор.

# C хардкором (в строго лимитированной дозе)

Уязвимость была найдена в библиотеке GNU C Library (glibc) и срабатывает в результате переполнения буфера, при вызове функций gethostbyname() и gethostbyname2(). Собственно, название GHOST — это как раз игра слов от gethost. 

Примечательно, что в Linux есть механизмы, которые препятствуют экплуатации подобных уязвимостей (ASLR, PIE, NX). Однако парни из Qualys утверждают, что собрали proof-of-concept эксплоита, который обходит защитные механизмы на 32/64-битных системах. Выглядит это так: на уязвимый сервер отправляется письмо, которое обрабатывается почтовым сервером Exim — в этот момент и происходит срабатывание и удаленное выполнение кода.

Кусочек конспирологии (а как же без нее). Уязвимость в glibc была молча исправлена еще в мае 2013 года, но без всякого намека на всю серьезность ситуации. Поэтому новые версии дистрибутивов, которые используют более свежую glibc, не уязвимы. Зато бага отлично продолжает жить в дистрибутивах с длительной поддержкой (LTS), которые повсеместно используются в больших проектах. А это Debian 7 (wheezy), Red Hat Enterprise Linux 6 и 7, CentOS 6 и 7, Ubuntu 10.04 и 12.04, SUSE Linux Enterprise 10 и 11.

# Будут ли взломы?

Еще как будут! Пока крупные компании в огне сейчас обновляются, многие вспомнят об этом уже после инцидента. Вы даже не представляете, сколько проектов в рунете живет с прошлогодним и до сих пор не исправленным Heartbleed (это та самая уязвимость, через которую в прошлом году сграбили огромное количество паролей от различных сервисов и данных кредитных карт). И да, им всё равно.

6 комментариев

TLS, на самом деле, LTS

3
Ответить

Ну, что это за статья такая? Одна вода.

2
Ответить

" In particular, we discovered that it was fixed on May 21, 2013 (between the releases of glibc-2.17 and glibc-2.18)."
Проверить версию - ldd --version

1
Ответить

нажевали, а не сплюнули... библиотека, а к чему эта библиотека? одно вижу, что то связанное с получением почты, значит должен стоять почтовый сервер? если он не стоит, то и беспокоиться не о чем???

Ответить

Glibc это основополагающая runtime библиотека для великого множества приложений, exim выбран исключительно как вектор атаки, то есть транспорт полезной нагрузки, который получает сообщения из глобальной сети. Самая печалька это кроссплатформенность этой библиотеки, так что ждите.

Ответить

те типа 14.04 убунту - все пучком - можно не волноваться?

Ответить