Лого vc.ru

Незваный Ghost: Насколько опасна новая критическая уязвимость Linux-серверов

Незваный Ghost: Насколько опасна новая критическая уязвимость Linux-серверов

27 января компания Qualys, специализирующаяся на ИТ-безопасности, опубликовала информацию об уязвимости Ghost, потенциально позволяющей злоумышленникам получить доступ к удалённому Linux-серверу. Степан Ильин, директор по продуктам Wallarm и экс-главред журнала «Хакер», попытался простыми словами объяснить, в чём суть проблемы и насколько она опасна для рунета.

Поделиться

Нынче уязвимостям модно давать названия и рисовать картинки. До этого были Heartbleed, Shellshock, Poodle — сегодняшнюю уязвимость, позволяющую удаленно захватить контроль над Linux-серверами, назвали GHOST. Стоит ли обращать на нее внимание?

# Без хардкора

В споре Windows vs. OS X мало кто вспоминает, что в качестве ОС для работы можно использовать Linux (хотя у любого программиста немало таких друзей) — но именно на этой операционке построена инфраструктура большинства интернет-компаний. Linux-сервера — везде. Что дает уязвимость GHOST? Вообще говоря, многое: удаленно захватить над ними контроль.

Хорошая новость в том, что компания Qualys, которая обнаружила и рассказала об уязвимости, не стала публиковать так называемый эксплоит. Для понимания: сама ошибка — это просто ошибка, даже самая опасная. Чтобы извлечь из ее толк, нужно знать, как ее эксплуатировать. Ну, или не знать — если утилиту для экплуатации (тот самый эксплоит) кто-то подготовил за тебя. Тогда можно просто взять скриптик, указать IP-адрес и получить доступ к командной строке, скажем, ЦП. К счастью, в публичном доступе эксплоита пока нет и массовый захват серверов отменяется.

Надо ли что-то делать? Рекомендация простая. Будучи серьезной компаний, Qualys заранее уведомила разработчиков дистрибутивов, а потому уже сейчас есть патчи. Если в вашей инфраструктуре используется Linux — убедитесь, что админ не забыл установить обновления (а он может!). Ну, чтобы вдруг с ваших серверов не пошла DDoS-атака или миллионами внезапно утекших в результате взлома учетных записей не заинтересовался Роскомнадзор.

# C хардкором (в строго лимитированной дозе)

Уязвимость была найдена в библиотеке GNU C Library (glibc) и срабатывает в результате переполнения буфера, при вызове функций gethostbyname() и gethostbyname2(). Собственно, название GHOST — это как раз игра слов от gethost. 

Примечательно, что в Linux есть механизмы, которые препятствуют экплуатации подобных уязвимостей (ASLR, PIE, NX). Однако парни из Qualys утверждают, что собрали proof-of-concept эксплоита, который обходит защитные механизмы на 32/64-битных системах. Выглядит это так: на уязвимый сервер отправляется письмо, которое обрабатывается почтовым сервером Exim — в этот момент и происходит срабатывание и удаленное выполнение кода.

Кусочек конспирологии (а как же без нее). Уязвимость в glibc была молча исправлена еще в мае 2013 года, но без всякого намека на всю серьезность ситуации. Поэтому новые версии дистрибутивов, которые используют более свежую glibc, не уязвимы. Зато бага отлично продолжает жить в дистрибутивах с длительной поддержкой (LTS), которые повсеместно используются в больших проектах. А это Debian 7 (wheezy), Red Hat Enterprise Linux 6 и 7, CentOS 6 и 7, Ubuntu 10.04 и 12.04, SUSE Linux Enterprise 10 и 11.

# Будут ли взломы?

Еще как будут! Пока крупные компании в огне сейчас обновляются, многие вспомнят об этом уже после инцидента. Вы даже не представляете, сколько проектов в рунете живет с прошлогодним и до сих пор не исправленным Heartbleed (это та самая уязвимость, через которую в прошлом году сграбили огромное количество паролей от различных сервисов и данных кредитных карт). И да, им всё равно.

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Ну, что это за статья такая? Одна вода.

" In particular, we discovered that it was fixed on May 21, 2013 (between the releases of glibc-2.17 and glibc-2.18)."
Проверить версию - ldd --version

нажевали, а не сплюнули... библиотека, а к чему эта библиотека? одно вижу, что то связанное с получением почты, значит должен стоять почтовый сервер? если он не стоит, то и беспокоиться не о чем???

0

Glibc это основополагающая runtime библиотека для великого множества приложений, exim выбран исключительно как вектор атаки, то есть транспорт полезной нагрузки, который получает сообщения из глобальной сети. Самая печалька это кроссплатформенность этой библиотеки, так что ждите.

0

те типа 14.04 убунту - все пучком - можно не волноваться?

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Сергей Макаров

И? Вы у себя в голове отлично домысливаете статью, а я читаю как есть)
Связь между кодами и идентификаторами вполне может быть обратной.

«Азбука вкуса» первой из российских ритейлеров запустила оплату покупок с помощью отпечатка пальца
0
Александр Симонов
Bank Soft Systems

ну про 500 млн трубок эт я да, загнул, слегка спутал с аудиторией их сервисов, телефонов всего 10 млн за год, но тоже как бы показатель.
По скорости опустошения складов на стартах продаж они тоже неплохо так выступают - первая партия в 750 тысяч трубок второго поколения весной в Китае разошлась меньше, чем за 10 минут. Более миллиона за первые два часа.
Совсем недавно еще вот сделку по покупке Vizio закрыли.
А вот насчет электрокаров это реальность. На одной из последних презентаций повозка выехала сама, управляемая с телефона. Более того, они с Астон Мартином в этом вопросе сотрудничают. Собственно, эти самые машинки они хотят к нам уже году в 18м привезти.
Вообще, довольно интересная компания, на самом то деле.

МТС первым из ритейлеров начнёт продажи смартфонов LeEco в России
0
Aleksei Shabelskii
Улей

А разве в ФБ этого не было уже?)

Сергей Барышников: Как я вернул долг размером в $2 млн благодаря созданию BigPicture.ru
0
Elena Fatkulina

Пособия по уходу за ребенком, как и ряд других пособий, которые работодатель оплачивает женщинам (или мужчинам), компенсируются работодателю ФСС. Их размер установлен законом, и он весьма невелик. Работодатель может платить что-то сверх этих компенсируемых ему государством сумм, но исключительно по собственному желанию.

«В Apple работают сексисты и женоненавистники»
0
Alex Sevas

Полностью отказался от услуг Яндекса. Драконовские расценки на рекламу. Реферальный маркетинг рулит!

Письмо в редакцию: «У вас проблемы с бизнесом, если больше 40% заказов — из "Яндекс.Маркета"»
0
Показать еще