Spukt der Ghost-Bug immer noch auf Ihren Servern herum?

Vergessene Sicherheitslücken können zurückkommen und Sie heimsuchen. Man geht nur zu leicht davon aus, dass man gründlich genug gepatcht oder aktualisiert hat, so dass eine gefährliche, weithin gemeldete Sicherheitslücke nicht mehr gefährlich ist.

Doch in Wirklichkeit hat Ihr Sicherheitsteam vielleicht einen wichtigen Patch übersehen - oder Sie haben unwissentlich einen ungepatchten Workload erworben. Zum Beispiel durch den Kauf zusätzlicher Technologielösungen oder weil Ihr Unternehmen eine andere Organisation übernommen oder mit ihr fusioniert hat.

Aus diesem Grund sollten Sie sich vergewissern, dass Ihre Workloads gründlich gegen die kritischsten Sicherheitslücken gepatcht sind. Eine davon ist der Ghost-Bug, eine Sicherheitslücke, die die GNU C Library Version 2.2 betrifft. Die GNU C Library ist eine Bibliothek mit Open-Source-Code, die unzählige Anwendungen und Dienste unterstützt.

Ghost ist kein Fehler, mit dem man unvorsichtig umgehen sollte: Ghost erhielt die maximale CVSS-Punktzahl von 10, was bedeutet, dass es sich um einen äußerst kritischen Fehler handelt.

In diesem Artikel erklären wir, wie die Ghost-Schwachstelle funktioniert, warum Ghost immer noch eine Gefahr für Ihren Betrieb darstellen kann und was Sie tun können, um zu überprüfen, ob Sie ungepatchte GNU C-Bibliotheken in Ihren Systemen haben.

Inhalt:

1. Was ist der Ghost-Bug - auch bekannt als die Glibc-Schwachstelle?
2. Wie Sie Ihre Server gegen CVE-2015-0235 patchen
3. Prüfen Sie mit uChecker, ob Sie für Ghost verwundbar sind
4. Regelmäßiges Patchen ist wichtig - für Ghost und für zukünftige Schwachstellen

Was ist der Ghost-Bug - auch bekannt als die Glibc-Schwachstelle?

Diese Glibc-Schwachstelle wurde von Forschern des Sicherheitsanbieters Qualys im Januar 2015 entdeckt und wurde damals als CVE-2015-0235 eingestuft.

Qualys fand heraus, dass die Funktion __nss_hostname_digits_dots() der GNU C Library eine Pufferüberlaufschwachstelle aufweist, die nicht nur von lokalen Benutzern, sondern auch von entfernten Benutzern ausgelöst werden kann. Entfernte Angreifer sind in der Lage, diesen Pufferüberlauf zu nutzen, um beliebigen Code auf Ihrem Server auszuführen, indem sie die Berechtigungen des Benutzers nutzen, der die Anwendung ausführt, die die glibc einsetzt.

Die Forscher haben eine Beispielanalyse veröffentlicht, die zeigt, wie ein System am Beispiel der E-Mail-Anwendung Exim angegriffen werden kann. Jede Linux-Anwendung, die die Funktionen gethostbyname() oder gethostbyname2() verwendet, ist jedoch anfällig, da diese Routen zur Ausnutzung der __nss_hostname_digits_dots()-Schwachstelle bieten.

Durch diese Sicherheitslücke kann ein Angreifer die vollständige Kontrolle über Ihr System erlangen, ohne dass Sie davon wissen. Es ist auch erwähnenswert, dass Ghost eine leicht zu implementierende Schwachstelle ist. Mit anderen Worten: Angreifer können ein verwundbares System mit relativ geringem Aufwand ausnutzen. Das ist ein Grund, warum Ghost auf dem CVSS-Index so hoch eingestuft wurde - mit der maximalen Punktzahl von zehn, was bedeutet, dass es sich um eine kritische Sicherheitslücke handelt.

Sie ist auch weit verbreitet, da die meisten Linux-Systeme von der Sicherheitslücke betroffen sind. Eine Liste der betroffenen Produkte finden Sie hier.

So patchen Sie Ihre Server gegen CVE-2015-0235

Ein interessanter Punkt ist, dass Ghost in glibc-2.2 enthalten war, die im Jahr 2000 veröffentlicht wurde. In einer späteren Version, glibc-2.18, wurde die Sicherheitslücke im Rahmen einer Aktualisierung der GNU C Library behoben.

Diese Korrektur war jedoch auf eine Routineaktualisierung der Bibliotheken zurückzuführen und wurde daher nicht als Sicherheitsveröffentlichung "gekennzeichnet". Aus diesem Grund haben die Hersteller nicht automatisch ein Update für glibc-2.2 veröffentlicht, bis die Sicherheitslücke zu einem späteren Zeitpunkt entdeckt wurde.

Es kann sein, dass Sie Ihre Software in der Zwischenzeit aktualisiert haben und dadurch auf eine neue, nicht betroffene Version der GNU C Library umgestiegen sind, es kann aber auch sein, dass Sie noch auf die Version 2.2 angewiesen sind.

Jedes System, das noch von der anfälligen Version der Bibliothek abhängt, muss gepatcht werden. Angesichts der Schwere der Sicherheitslücke wurden von den großen Herstellern Patches veröffentlicht, und die Behebung der Sicherheitslücke ist so einfach wie das Patchen der von Ihnen verwendeten Linux-Distribution.

Sie können die glibc-Bibliothek auch manuell über die Befehlszeile Ihres Betriebssystems aktualisieren - die neuesten Bibliotheken finden Sie hier, aber denken Sie natürlich immer daran, Ihren Server neu zu starten, nachdem Sie die Aktualisierung installiert haben.

Wenn Sie derzeit KernelCare Enterprise von TuxCare verwenden und dessen Zusatzprogramm LibraryCare einsetzen, müssen Sie sich natürlich keine Sorgen machen. Der Ghost-Bug und viele andere Sicherheitslücken sind auf Ihren Systemen bereits gepatcht.

Wenn Sie jedoch feststellen, dass eines Ihrer Systeme gepatcht werden muss, können Sie es ganz einfach im TuxCare ePortal zum Patchen registrieren, und Sie können sicher sein, dass es ohne Neustart im Speicher gepatcht wird.

Prüfen Sie mit UChecker, ob Sie anfällig für Ghost sind

Wenn eine Schwachstelle so gefährlich ist wie Ghost, lohnt es sich, doppelt zu prüfen, ob Ihr Arbeitsvolumen gründlich gegen diese Schwachstelle gepatcht ist - selbst wenn die Schwachstelle schon ein paar Jahre alt ist.

Auch wenn ein qualifiziertes Sicherheitsteam gefährliche Schwachstellen immer umgehend patchen wird, können sich menschliche Fehler einschleichen - und manchmal können sich ungepatchte Arbeitslasten aufgrund von Firmenübernahmen oder der Einführung einer neuen Technologielösung, die zufällig eine ungepatchte Bibliothek enthält, einschleichen.

Zum Glück gibt es eine einfache Möglichkeit zu überprüfen, ob Sie Ihre Server mit einem Patch vor Ghost schützen müssen.

Wir von TuxCare haben ein kostenloses Tool entwickelt, das unter der GNU GPL 2 lizenziert ist. uChecker scannt Ihr System automatisch nach ungepatchten Bibliotheken - einschließlich glibc. Die Installation von uChecker ist einfach. Führen Sie einfach diesen Befehl aus:

curl -s -L https://kernelcare.com/uchecker | python

Wenn Sie uChecker ausführen, erhalten Sie einen vollständigen Bericht über alle Bibliotheken, die gepatcht werden müssen. Dazu gehören sowohl die auf der Festplatte gespeicherten als auch die derzeit im Speicher geladenen Bibliotheken.

Aus Sicherheitsgründen sollten Sie Code, den Sie aus dem Internet herunterladen, gründlich überprüfen, bevor Sie ihn auf Ihren Systemen ausführen. Der obige Befehl kann und sollte in zwei Teile aufgeteilt werden - einen, um den zu prüfenden Code herunterzuladen, und einen weiteren, um ihn tatsächlich auszuführen. Das oben gezeigte Beispiel ist nur eine bequeme Art, uChecker auszuführen, nicht die beste Sicherheitspraxis.

Regelmäßiges Patchen ist wichtig - für Ghost und für zukünftige Schwachstellen

Der Ghost-Bug ist immer noch im Umlauf und es besteht die Möglichkeit, dass er Ihre Systeme heimsucht und eine Hintertür für Angreifer schafft. Wenn Sie einen automatischen, rebootlosen Bibliotheks-Patching-Service nutzen, brauchen Sie sich keine Sorgen zu machen, da Ihre GNU C-Bibliotheken auf dem neuesten Stand sind.

Sind Sie sich nicht sicher, ob Sie so umfassend gepatcht haben, wie Sie es hätten tun sollen? Probieren Sie uChecker aus - das Programm ist kostenlos und zeigt Ihnen schnell an, ob Sie noch für den gefährlichen Ghost-Bug anfällig sind.

Das Fazit ist, dass regelmäßige Patches Ihre Systeme Jahr für Jahr sicher machen - auch gegen die gefährlichsten Sicherheitslücken. Es werden ständig neue CVEs veröffentlicht, und es ist wichtig, die CVEs im Auge zu behalten und zu prüfen, ob Ihre Systeme gefährdet sind.

Allein in der Glibc wurden bis Mitte Juli 2021, als dieser Artikel geschrieben wurde, fünf Sicherheitslücken registriert. Das ist eine neue Sicherheitslücke jeden Monat, allein in der Glibc.

Natürlich war und ist Ghost (für diejenigen, die noch nicht gepatcht haben) eine der gefährlichsten Bibliotheksschwachstellen. Aber wer sagt, dass es nicht noch eine weitere Sicherheitslücke geben wird, die so gefährlich ist wie die alte "Ghost"?

Was wäre Ihrer Meinung nach ein guter Weg, um mit einer neuen, gefährlichen Sicherheitslücke umzugehen? Glauben Sie, dass Ihr Team für eine so große Herausforderung wie CVE-2015-0235 bereit ist? Werden Sie und Ihr Team in der Lage sein, anfällige Systeme zu entdecken und diese im schlimmsten Fall sofort zu patchen?

Dies sind einige Punkte, über die Sie nachdenken sollten - denn eines ist sicher: Die Entdeckung einer weiteren gefährlichen Sicherheitslücke steht unmittelbar bevor.