Encuentre bibliotecas sin parches en la memoria con UChecker de KernelCare

Para ayudar a los administradores a gestionar cientos de servidores con bibliotecas de código abierto, KernelCare ha lanzado UChecker, un escáner que comprueba los servidores Linux en red y detecta las bibliotecas desactualizadas tanto en disco como en memoria. El escáner de código abierto de KernelCare detectará falsos negativos informando correctamente de las bibliotecas vulnerables que se ejecutan en memoria y que otros escáneres podrían dar por actualizadas.

El UChecker (originado de "userspace checker") funciona con todas las Distribuciones Linux modernas, es gratuito y de código abierto, distribuido bajo la Licencia Pública General GNU.

Puede escanear sus sistemas ejecutando un único comando:

curl -s -L https://kernelcare.com/uchecker | python

Tras ejecutar este comando, los administradores reciben una lista de bibliotecas sin parches con la siguiente información:

• ID del proceso
• Nombre del proceso

Este diagrama de actividades muestra cómo funciona UChecker:

Visite la página página Github de UChecker para obtener más información y ver la demostración del funcionamiento de Uchecker:

Las bibliotecas compartidas y las dependencias ayudan al desarrollo rápido y a la comodidad, pero por cada biblioteca compartida de código abierto que se añade a un servidor, se introduce un nuevo riesgo. Depender de bibliotecas de terceros tiene sus ventajas, pero el desarrollador de la biblioteca también debe mantener su código parcheado para evitar exploits. La instalación de parches es responsabilidad del administrador del servidor, y algunos administradores simplemente instalan parches y reinician todos los servidores para asegurarse de que tienen los parches más recientes sin necesidad de parchearlos individualmente basándose en análisis de bibliotecas desactualizadas.

Reiniciar indiscriminadamente los servidores críticos conlleva algunos riesgos que afectan a los ingresos:

• Tiempo de inactividad del servidor: El proceso de reiniciar servidores y resincronizar servicios puede durar hasta 15 minutos o más, lo que significa que los servicios no están disponibles para clientes y empleados. Muchas grandes empresas no toleran el tiempo de inactividad. Incluso con una granja de servidores detrás de un equilibrador de carga, sacar demasiados servidores de la rotación supone el riesgo de sobrecargar los servidores disponibles y provocar una degradación del rendimiento.
• Ventana de vulnerabilidad: Dado que reiniciar es una responsabilidad tan arriesgada y laboriosa, muchos administradores programan los reinicios para fechas concretas. Al retrasar los parches, se introduce una ventana de vulnerabilidad en la que los atacantes con exploits listos para su ejecución pueden aprovecharse del retraso. El riesgo aumenta exponencialmente cuando los parches de seguridad se publican con código de explotación.

Una opción es parchear los servidores manualmente y evitar el reinicio, pero el código ejecutable de las bibliotecas puede persistir en la memoria aunque esté actualizado en disco. Los típicos escáneres de vulnerabilidades no detectan el software sin parches cuando se actualiza en disco pero no en memoria.

Las bibliotecas compartidas son una superficie de ataque ampliamente atacada. Las investigaciones sugieren que OpenSSL es el software más atacado del mundo, con un 19% de la actividad hostil global. Las organizaciones de todos los sectores deben asegurarse de que mitigan rápidamente las vulnerabilidades para evitar su explotación. En el caso de las vulnerabilidades de OpenSSL y GNU C (glibc), esto incluye actualizaciones oportunas y gestión de parches.

Junto con el servicio de aplicación de parches en directo de KernelCare, las organizaciones pueden mantener más rápidamente los servidores Linux parcheados con la última actualización de seguridad, protegiéndolos de exploits, filtraciones de datos y problemas de cumplimiento de normativas.