Siga o Suporte Ninja por email

sábado, 31 de janeiro de 2015

(Ghost) - Vulnerabilidade crítica para servidores linux


Uma vulnerabilidade extremamente crítica que afeta a maioria das distribuições Linux, dá ao atacante a capacidade de executar código malicioso em servidores linux. A vulnerabilidade esta na biblioteca C GNU (glibc) representa uma grande ameaça da Internet, em alguns aspectos comparáveis as Heartbleed e Shellshock bugs mais perigosos do ano passado. O bug, que está sendo apelidado de “Ghost” por alguns pesquisadores, tem a designação de vulnerabilidades e exposições comuns do CVE-2015-0235. Enquanto um patch foi lançado há dois anos, a maioria das versões do Linux utilizado em sistemas de produção permanecem desprotegidas no momento.


Uma falha buffer overflow na função __nss_hostname_digits_dots() no glibc pode ser explorada [localmente ou remotamente] via gethostbyname() [função usada para resolver hostnames].

Para os menos entendidos, esta vulnerabilidade permite a um utilizador malicioso executar código malicioso num sistema vulnerável e ganhar total controlo do sistema operativo.

Representa uma grande ameaça da Internet, em alguns aspectos comparáveis as Heartbleed e Shellshock bugs mais perigosos do ano passado.


A Qualys desenvolveu um exemplo de um ataque em que é possível ter acesso a uma máquina Linux apenas enviando um email para um servidor de mail. Openwall,

A Qualys disse que foram capazes de escrever a prova de conceito (POC) e exploram código usando ataque de execução de código remoto contra o Exim mail server.


Este ataque ignorou todas as proteções existentes disponíveis em ambos os sistemas 32-bit e 64-bit. Os especialistas ainda não publicaram o código de exploração, mas posteriomente iram disponibilizar como um modulo do Metasploit.


O glibc é a biblioteca de código mais comum usada pelo Linux. Ele contém funções padrão que programas escritos em linguagens C e C++ usam para realizar tarefas comuns. A vulnerabilidade também afeta programas Linux, escritos em Python, Ruby e outras linguagens de mais porque eles também dependem de glibc. Como resultado, a maioria dos sistemas Linux deve presumir-se vulneráveis a menos que execute uma alternativa à glibc.

Em um post mais tarde, pesquisadores liberaram uma lista de apps que acreditavam que não eram vulneráveis. A lista inclui Apache, Cups, Dovecot, GnuPG, isc dhcp, lighttpd, mysql/mariadb, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd e xinetd.

“Se foram capazes de explorar remotamente uma versão bastante moderna de Exim, isso é muito grave,” disse Jon Oberheide, um especialista em segurança de Linux e o CTO de dupla segurança de serviço de autenticação de Duo-Security. “Poderia haver um monte de problemas na Internet se estes exploits forem publicados publicamente, que parece como se eles pretendem fazer, e se outros iniciar pessoas para escrever explora para outros destinos.”

A certeza desta vulnerabilidade parece ter pego os desenvolvedores das distribuições Ubuntu, Debian e Red Hat Linux desprevenido. No momento que este post estava sendo preparado eles pareciam estar ciente do bug, mas não tinham ainda distribuído um patch.


Todos os distribuidores de Linux afetados já têm um patch disponível e já é possível a correção desta vulnerabilidade.


RedHat: https://rhn.redhat.com/errata/RHSA-2015-0090.html

Ubuntu: https://launchpad.net/ubuntu/+source/eglibc

Debian: https://security-tracker.debian.org/tracker/CVE-2015-0235″


Fonte openwall.com