Лого vc.ru

Незваный Ghost: Насколько опасна новая критическая уязвимость Linux-серверов

Незваный Ghost: Насколько опасна новая критическая уязвимость Linux-серверов

27 января компания Qualys, специализирующаяся на ИТ-безопасности, опубликовала информацию об уязвимости Ghost, потенциально позволяющей злоумышленникам получить доступ к удалённому Linux-серверу. Степан Ильин, директор по продуктам Wallarm и экс-главред журнала «Хакер», попытался простыми словами объяснить, в чём суть проблемы и насколько она опасна для рунета.

Поделиться

Нынче уязвимостям модно давать названия и рисовать картинки. До этого были Heartbleed, Shellshock, Poodle — сегодняшнюю уязвимость, позволяющую удаленно захватить контроль над Linux-серверами, назвали GHOST. Стоит ли обращать на нее внимание?

# Без хардкора

В споре Windows vs. OS X мало кто вспоминает, что в качестве ОС для работы можно использовать Linux (хотя у любого программиста немало таких друзей) — но именно на этой операционке построена инфраструктура большинства интернет-компаний. Linux-сервера — везде. Что дает уязвимость GHOST? Вообще говоря, многое: удаленно захватить над ними контроль.

Хорошая новость в том, что компания Qualys, которая обнаружила и рассказала об уязвимости, не стала публиковать так называемый эксплоит. Для понимания: сама ошибка — это просто ошибка, даже самая опасная. Чтобы извлечь из ее толк, нужно знать, как ее эксплуатировать. Ну, или не знать — если утилиту для экплуатации (тот самый эксплоит) кто-то подготовил за тебя. Тогда можно просто взять скриптик, указать IP-адрес и получить доступ к командной строке, скажем, ЦП. К счастью, в публичном доступе эксплоита пока нет и массовый захват серверов отменяется.

Надо ли что-то делать? Рекомендация простая. Будучи серьезной компаний, Qualys заранее уведомила разработчиков дистрибутивов, а потому уже сейчас есть патчи. Если в вашей инфраструктуре используется Linux — убедитесь, что админ не забыл установить обновления (а он может!). Ну, чтобы вдруг с ваших серверов не пошла DDoS-атака или миллионами внезапно утекших в результате взлома учетных записей не заинтересовался Роскомнадзор.

# C хардкором (в строго лимитированной дозе)

Уязвимость была найдена в библиотеке GNU C Library (glibc) и срабатывает в результате переполнения буфера, при вызове функций gethostbyname() и gethostbyname2(). Собственно, название GHOST — это как раз игра слов от gethost. 

Примечательно, что в Linux есть механизмы, которые препятствуют экплуатации подобных уязвимостей (ASLR, PIE, NX). Однако парни из Qualys утверждают, что собрали proof-of-concept эксплоита, который обходит защитные механизмы на 32/64-битных системах. Выглядит это так: на уязвимый сервер отправляется письмо, которое обрабатывается почтовым сервером Exim — в этот момент и происходит срабатывание и удаленное выполнение кода.

Кусочек конспирологии (а как же без нее). Уязвимость в glibc была молча исправлена еще в мае 2013 года, но без всякого намека на всю серьезность ситуации. Поэтому новые версии дистрибутивов, которые используют более свежую glibc, не уязвимы. Зато бага отлично продолжает жить в дистрибутивах с длительной поддержкой (LTS), которые повсеместно используются в больших проектах. А это Debian 7 (wheezy), Red Hat Enterprise Linux 6 и 7, CentOS 6 и 7, Ubuntu 10.04 и 12.04, SUSE Linux Enterprise 10 и 11.

# Будут ли взломы?

Еще как будут! Пока крупные компании в огне сейчас обновляются, многие вспомнят об этом уже после инцидента. Вы даже не представляете, сколько проектов в рунете живет с прошлогодним и до сих пор не исправленным Heartbleed (это та самая уязвимость, через которую в прошлом году сграбили огромное количество паролей от различных сервисов и данных кредитных карт). И да, им всё равно.

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Ну, что это за статья такая? Одна вода.

" In particular, we discovered that it was fixed on May 21, 2013 (between the releases of glibc-2.17 and glibc-2.18)."
Проверить версию - ldd --version

нажевали, а не сплюнули... библиотека, а к чему эта библиотека? одно вижу, что то связанное с получением почты, значит должен стоять почтовый сервер? если он не стоит, то и беспокоиться не о чем???

0

Glibc это основополагающая runtime библиотека для великого множества приложений, exim выбран исключительно как вектор атаки, то есть транспорт полезной нагрузки, который получает сообщения из глобальной сети. Самая печалька это кроссплатформенность этой библиотеки, так что ждите.

0

те типа 14.04 убунту - все пучком - можно не волноваться?

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Денис Кулагин
Wikivox

У меня вызывает аналогичные ощущения, но от этого камер меньше не становится :) Банки вообще ими нашпигованы от и до. Лицо это наша с вами кука в оффлайне и как только научатся с достаточной точностью её распознавать, потребительский мир ждёт повальная персонализация.

Соглашусь про "следует проработать". Просто мне кажется та информация, которая подаётся нам в статье и реальные мотивы внедрения вполне могут расходится. У них в тексте довольно расплывчато написано: "используется для оценки эффективности системы для её перспективного использования в различных бизнес-процессах банка".

Банк «Открытие» запустил тестирование системы от VisionLabs для распознавания лиц клиентов в отделениях
0
Hoover Dam

Ага, только прочие страны почему то материально ценят эти мозги больше, чем здесь.
Это как на большинстве работ и производств - они тоже очень ценят своих сотрудников, вот только платят хреново.

Франция запустит четырёхлетние визы для ИТ-специалистов, стартаперов и инвесторов
0
topovyj

Тут конечно куча всего.
С одной стороны паспорт в частном банке получать лучше чем в госпаспортном столе.
С другой стороны может это попытка сохранить устаревающие отделения, но тогда банк имеет вероятность превратиться в почту :)

Правительство поручило организовать в банках выдачу паспортов и миграционных документов
0
Сергей Викторыч

местному царству нужны мозги, видно же что нехватает

Франция запустит четырёхлетние визы для ИТ-специалистов, стартаперов и инвесторов
0
Svyatoslav Bobenko

А кроме лайков и расшаров?

Длинная дистанция: как владелец SEO-студии учился работать с контент-маркетингом, и что из этого вышло
0
Показать еще