Siga o Suporte Ninja por email

sábado, 31 de janeiro de 2015

"GHOST" - vulnerabilidade extremamente crítica para servidores linux!




Uma vulnerabilidade extremamente crítica que afeta a maioria das distribuições Linux, dá ao atacante a capacidade de executar código malicioso em servidores linux. A vulnerabilidade esta na biblioteca C GNU (glibc) representa uma grande ameaça da Internet, em alguns aspectos comparáveis as Heartbleed e Shellshock bugs mais perigosos do ano passado. O bug, que está sendo apelidado de “Ghost” por alguns pesquisadores, tem a designação de vulnerabilidades e exposições comuns do CVE-2015-0235. Enquanto um patch foi lançado há dois anos, a maioria das versões do Linux utilizado em sistemas de produção permanecem desprotegidas no momento.


Uma falha buffer overflow na função __nss_hostname_digits_dots() no glibc pode ser explorada [localmente ou remotamente] via gethostbyname() [função usada para resolver hostnames].

Para os menos entendidos, esta vulnerabilidade permite a um utilizador malicioso executar código malicioso num sistema vulnerável e ganhar total controlo do sistema operativo.

Representa uma grande ameaça da Internet, em alguns aspectos comparáveis as Heartbleed e Shellshock bugs mais perigosos do ano passado.


A Qualys desenvolveu um exemplo de um ataque em que é possível ter acesso a uma máquina Linux apenas enviando um email para um servidor de mail. Openwall,

A Qualys disse que foram capazes de escrever a prova de conceito (POC) e exploram código usando ataque de execução de código remoto contra o Exim mail server.


Este ataque ignorou todas as proteções existentes disponíveis em ambos os sistemas 32-bit e 64-bit. Os especialistas ainda não publicaram o código de exploração, mas posteriomente iram disponibilizar como um modulo do Metasploit.


O glibc é a biblioteca de código mais comum usada pelo Linux. Ele contém funções padrão que programas escritos em linguagens C e C++ usam para realizar tarefas comuns. A vulnerabilidade também afeta programas Linux, escritos em Python, Ruby e outras linguagens de mais porque eles também dependem de glibc. Como resultado, a maioria dos sistemas Linux deve presumir-se vulneráveis a menos que execute uma alternativa à glibc.

Em um post mais tarde, pesquisadores liberaram uma lista de apps que acreditavam que não eram vulneráveis. A lista inclui Apache, Cups, Dovecot, GnuPG, isc dhcp, lighttpd, mysql/mariadb, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd e xinetd.

“Se foram capazes de explorar remotamente uma versão bastante moderna de Exim, isso é muito grave,” disse Jon Oberheide, um especialista em segurança de Linux e o CTO de dupla segurança de serviço de autenticação de Duo-Security. “Poderia haver um monte de problemas na Internet se estes exploits forem publicados publicamente, que parece como se eles pretendem fazer, e se outros iniciar pessoas para escrever explora para outros destinos.”

A certeza desta vulnerabilidade parece ter pego os desenvolvedores das distribuições Ubuntu, Debian e Red Hat Linux desprevenido. No momento que este post estava sendo preparado eles pareciam estar ciente do bug, mas não tinham ainda distribuído um pronto-a-fix.



Todos os distribuidores de Linux afetados já têm um patch disponível e já é possível a correção desta vulnerabilidade.


RedHat: https://rhn.redhat.com/errata/RHSA-2015-0090.html

Ubuntu: https://launchpad.net/ubuntu/+source/eglibc

Debian: https://security-tracker.debian.org/tracker/CVE-2015-0235″


Fonte openwall.com







"GHOST" - vulnerabilidade extremamente crítica para servidores linux!