Trouver les bibliothèques non corrigées en mémoire avec UChecker de KernelCare

Pour aider les administrateurs à gérer des centaines de serveurs avec des bibliothèques open-source, KernelCare a publié UChecker - un scanner qui vérifie les serveurs Linux en réseau et détecte les bibliothèques obsolètes à la fois sur le disque et en mémoire. Le scanner open-source de KernelCare détecte les faux négatifs en signalant correctement les bibliothèques vulnérables fonctionnant en mémoire qui pourraient être signalées comme mises à jour par d'autres scanners.

L'UChecker (issu de "userspace checker") fonctionne avec toutes les distributions Linux modernes, il est gratuit et open-source, distribué sous la licence publique générale GNU.

Vous pouvez analyser vos systèmes en exécutant une seule commande :

curl -s -L https://kernelcare.com/uchecker | python

Après avoir exécuté cette commande, les administrateurs reçoivent une liste des bibliothèques non corrigées avec les informations suivantes :

• ID du processus
• Nom du processus

Ce diagramme d'activité montre comment UChecker fonctionne :

Visitez la page Github d'UChecker pour en savoir plus et regarder la démonstration du fonctionnement d'Uchecker :

Les bibliothèques partagées et les dépendances permettent un développement rapide et pratique, mais chaque fois qu'une bibliothèque partagée à code source ouvert est ajoutée à un serveur, un nouveau risque est introduit. S'appuyer sur des bibliothèques tierces présente des avantages, mais le développeur de la bibliothèque doit également maintenir son code corrigé pour éviter les exploits. L'installation des correctifs relève de la responsabilité de l'administrateur du serveur. Certains administrateurs se contentent d'installer les correctifs et de redémarrer tous les serveurs pour s'assurer qu'ils disposent des derniers correctifs sans avoir à les corriger individuellement sur la base d'analyses de bibliothèques obsolètes.

Le redémarrage de serveurs critiques sans discernement comporte des risques d'impact sur les revenus :

• Temps d'arrêt des serveurs: Le processus de redémarrage des serveurs et de resynchronisation des services peut prendre jusqu'à 15 minutes ou plus, ce qui signifie que les services ne sont pas disponibles pour les clients et les employés. De nombreuses grandes entreprises n'ont aucune tolérance pour les temps d'arrêt. Même avec une ferme de serveurs derrière un équilibreur de charge, le fait d'interrompre la rotation d'un trop grand nombre de serveurs risque de surcharger les serveurs disponibles et de provoquer une dégradation des performances.
• Fenêtre de vulnérabilité: Comme le redémarrage est une responsabilité risquée et laborieuse, de nombreux administrateurs programment les redémarrages à des dates précises. En retardant l'application des correctifs, on introduit une fenêtre de vulnérabilité dans laquelle des attaquants disposant d'exploits prêts à être exécutés peuvent profiter du retard. Le risque augmente de façon exponentielle lorsque les correctifs de sécurité sont publiés avec un code d'exploitation.

L'une des options consiste à corriger les serveurs manuellement et à éviter un redémarrage, mais le code exécutable de la bibliothèque peut persister en mémoire même lorsqu'il est mis à jour sur le disque. Les scanners de vulnérabilité habituels ne détectent pas les logiciels non corrigés lorsqu'ils sont mis à jour sur le disque mais pas en mémoire.

Les bibliothèques partagées constituent une surface d'attaque largement ciblée. Les recherches suggèrent qu'OpenSSL est le logiciel le plus ciblé dans le monde, représentant 19% des activités hostiles dans le monde. Les organisations de tous les secteurs doivent s'assurer qu'elles atténuent rapidement les vulnérabilités afin d'éviter toute exploitation. Pour les vulnérabilités d'OpenSSL et de GNU C (glibc), cela inclut des mises à jour et une gestion des correctifs en temps opportun.

Avec le service de correctifs en direct de KernelCare, les organisations peuvent plus rapidement maintenir les serveurs Linux avec la dernière mise à jour de sécurité, ce qui protège les serveurs contre les exploits, les violations de données et les problèmes de conformité.