ClickCease Le bug fantôme hante-t-il encore vos serveurs ? | tuxcare.com

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le bug du Fantôme hante-t-il toujours vos serveurs ?

DeShea Witcher

20 juillet 2021 - Vice-président du marketing

Les vulnérabilités oubliées peuvent revenir vous hanter. Il est trop facile de supposer que vous avez appliqué des correctifs ou des mises à niveau suffisamment rigoureux pour qu'une vulnérabilité dangereuse et largement diffusée ne le soit plus.

Mais, en réalité, votre équipe de sécurité peut avoir manqué un patch critique - ou vous pouvez avoir acquis sans le savoir une charge de travail non patchée. Par exemple, en achetant des solutions technologiques supplémentaires ou parce que votre organisation a acquis ou fusionné avec une autre.

C'est pourquoi il est utile de vérifier que vos charges de travail sont bien protégées contre les vulnérabilités les plus critiques. L'une d'entre elles est le bogue Ghost, une vulnérabilité qui affecte la version 2.2 de la bibliothèque C de GNU. La bibliothèque GNU C est une bibliothèque de code libre qui alimente d'innombrables applications et services.

Ghost n'est pas un bogue que vous pouvez risquer de négliger : Ghost a reçu le score CVSS maximal de 10, ce qui indique qu'il est extrêmement critique.

Dans cet article, nous expliquons comment fonctionne la vulnérabilité Ghost, nous expliquons pourquoi Ghost peut toujours représenter un danger pour vos opérations et nous expliquons ce que vous pouvez faire pour vérifier si vous avez des bibliothèques GNU C non corrigées dans vos systèmes.

 

Sommaire :

1. Qu'est-ce que le bogue Ghost - également connu sous le nom de vulnérabilité de la glibc ?
2. Comment protéger vos serveurs contre CVE-2015-0235 ?
3. Vérifiez si vous êtes vulnérable à Ghost avec uChecker
4. Des correctifs réguliers sont essentiels - pour Ghost et pour les vulnérabilités futures.

 

 

Qu'est-ce que le bogue Ghost - également connu sous le nom de vulnérabilité glibc ?

 

Cette vulnérabilité de la glibc a été découverte par des chercheurs de l'éditeur de sécurité Qualys en janvier 2015 et a été attribuée à l'époque à CVE-2015-0235.

Qualys a découvert que la fonction __nss_hostname_digits_dots() de la bibliothèque C de GNU présentait une vulnérabilité de dépassement de tampon pouvant être déclenchée non seulement par des utilisateurs locaux, mais aussi par des utilisateurs distants. Les attaquants distants sont en mesure d'utiliser cette faille de dépassement de tampon pour exécuter un code arbitraire sur votre serveur en utilisant les permissions de l'utilisateur exécutant l'application qui déploie la glibc.

Les chercheurs ont publié un exemple d'analyse montrant comment un système peut être violé en utilisant l'application de messagerie Exim comme exemple, mais toute application Linux qui utilise la fonction gethostbyname() ou gethostbyname2() est vulnérable car elle fournit des routes pour exploiter la vulnérabilité __nss_hostname_digits_dots().

Grâce à cette vulnérabilité, un attaquant distant peut prendre le contrôle total de votre système à votre insu. Il convient également de noter que Ghost est un exploit facile à mettre en œuvre. En d'autres termes, les attaquants peuvent exploiter un système vulnérable avec relativement peu d'efforts. C'est l'une des raisons pour lesquelles Ghost a obtenu un score aussi élevé dans l'indice CVSS - le score maximum étant de dix, ce qui signifie qu'il s'agit d'une vulnérabilité critique.

Elle est également très répandue, la plupart des systèmes Linux étant touchés par cette vulnérabilité. Vous pouvez trouver une liste des produits affectés ici.

 

 

Comment patcher vos serveurs contre CVE-2015-0235

 

Il est intéressant de noter que Ghost était inclus dans la glibc-2.2, publiée en 2000. Dans une version ultérieure, glibc-2.18, la vulnérabilité a été corrigée dans le cadre d'une mise à jour de la bibliothèque C de GNU.

Cependant, cette correction était due à une mise à jour de routine des bibliothèques et n'était donc pas "marquée" comme une publication de sécurité. Pour cette raison, les fournisseurs n'ont pas publié automatiquement une mise à jour pour glibc-2.2 jusqu'à ce que la vulnérabilité soit découverte à un stade ultérieur.

Il est possible que vous ayez mis à jour votre logiciel entre-temps, et par conséquent mis à jour vers une nouvelle version non affectée de la bibliothèque C de GNU, mais il est également possible que vous vous appuyiez toujours sur la version 2.2.

Tout système qui dépend encore de la version vulnérable de la bibliothèque doit être corrigé. Étant donné la gravité de la vulnérabilité, des correctifs ont été publiés par les principaux fournisseurs, et la correction de la vulnérabilité est aussi simple qu'une correction de la distribution Linux que vous utilisez.

Vous pouvez également mettre à jour manuellement la bibliothèque glibc en utilisant la ligne de commande de votre système d'exploitation - les dernières bibliothèques sont ici, mais bien sûr, n'oubliez jamais de redémarrer votre serveur après avoir installé la mise à jour.

Bien sûr, si vous utilisez actuellement KernelCare Enterprise de TuxCare et que vous déployez son module complémentaire LibraryCare, vous n'avez pas à vous inquiéter. Le bogue Ghost et de nombreuses autres vulnérabilités sont déjà corrigés sur vos systèmes.

Cependant, si vous vous rendez compte qu'un autre de vos systèmes a besoin d'être patché, vous pouvez facilement l'enregistrer pour le patcher dans le TuxCare ePortal, et vous pouvez être assuré qu'il sera patché en mémoire sans redémarrage.

 

 

Vérifiez si vous êtes vulnérable à Ghost avec UChecker

 

Lorsqu'une vulnérabilité est aussi dangereuse que celle de Ghost, il vaut la peine de vérifier que votre charge de travail est entièrement protégée contre cette vulnérabilité, même si elle date de quelques années.

Bien qu'une équipe de sécurité qualifiée corrige toujours rapidement les vulnérabilités dangereuses, l'erreur humaine peut s'infiltrer - et parfois, des charges de travail non corrigées peuvent s'infiltrer en raison d'acquisitions d'entreprises ou parce que vous avez introduit une nouvelle solution technologique qui contient une bibliothèque non corrigée.

Heureusement, il existe un moyen simple de vérifier si vous devez appliquer des correctifs pour protéger vos serveurs contre Ghost.

Chez TuxCare, nous avons développé un outil gratuit sous licence GNU GPL 2, appelé uChecker, qui analyse automatiquement votre système à la recherche de bibliothèques non corrigées, dont la glibc. L'installation d'uChecker est simple. Il suffit d'exécuter cette commande :

Ghost-UcheckerConsolecurl -s -L https://kernelcare.com/uchecker | python

Lorsque vous exécutez uChecker, vous obtenez un rapport complet de toutes les bibliothèques qui nécessitent un correctif. Cela inclut les bibliothèques stockées sur le disque, ainsi que les bibliothèques actuellement chargées en mémoire.

Par mesure de sécurité, vous devez vérifier minutieusement le code que vous téléchargez sur Internet avant de l'exécuter dans vos systèmes. La commande ci-dessus peut, et devrait, être séparée en deux - une pour télécharger le code que vous voulez vérifier, et une autre pour l'exécuter. La commande ci-dessus n'est qu'un moyen pratique d'exécuter uChecker, et non la meilleure pratique de sécurité.

 

 

L'application régulière de correctifs est essentielle - pour Ghost et pour les vulnérabilités futures.

 

Le bogue Ghost est toujours là et il est possible qu'il hante vos systèmes et crée une porte dérobée pour les attaquants. Si vous utilisez un service de mise à jour automatique et sans redémarrage des bibliothèques, vous n'aurez pas à vous inquiéter car vos bibliothèques GNU C seront parfaitement à jour.

Vous n'êtes pas sûr d'avoir appliqué tous les correctifs nécessaires ? Pourquoi ne pas essayer uChecker ? Son utilisation est gratuite et il vous alertera rapidement si vous êtes toujours vulnérable au dangereux bogue Ghost.

En résumé, l'application régulière de correctifs permettra de protéger vos systèmes année après année, y compris contre les vulnérabilités les plus dangereuses. Il y a toujours de nouvelles CVE publiées, et il est crucial de garder un œil sur les CVE et de vérifier si vos systèmes sont en danger.

La seule glibc, par exemple, a enregistré cinq vulnérabilités jusqu'à la mi-juillet 2021, date de rédaction de cet article. Cela représente une nouvelle vulnérabilité par mois, rien que pour la glibc.

Bien sûr, Ghost a été et est toujours (pour ceux qui n'ont pas encore corrigé) l'une des vulnérabilités de bibliothèque les plus dangereuses. Mais qui dit qu'il n'y aura pas une autre vulnérabilité aussi dangereuse que l'ancienne "Ghost" ?

Selon vous, quelle serait une bonne façon de gérer une nouvelle vulnérabilité dangereuse ? Pensez-vous que votre équipe est prête à relever un défi aussi important que CVE-2015-0235 ? Votre équipe et vous-même serez-ils en mesure de découvrir les systèmes vulnérables et de les corriger immédiatement si le pire se produit ?

Il s'agit là de quelques points auxquels vous devriez réfléchir, car une chose dont nous pouvons être certains, c'est que la découverte d'une autre vulnérabilité dangereuse n'est pas loin.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information