Een oude GHOST steekt zijn kop weer op

Secwatch

Gepubliceerd op 28-01-2015

---

Een oude GHOST steekt zijn kop weer op

Deze week is een nieuwe kwetsbaarheid ontdekt die hackers heel eenvoudig toegang kan geven tot Linux-gebaseerde systemen. Zo eenvoudig zelfs, dat een hacker met een simpel e-mailbericht op een Linux-machine de volledige toegang kan krijgen tot die machine.

Deze nieuwe kwetsbaarheid, GHOST genoemd, maakt gebruik van een functie in Linux die al sinds 2000 aanwezig is, maar die niet eerder op deze manier is gebruikt. Reeds in 2013 is een oplossing voor dit toen nog potentiële gevaar uitgebracht, maar deze is indertijd nooit doorgevoerd op de meeste bekende stabiele Linux-implementaties, waaronder Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 en Ubuntu 12.04. Systemen die momenteel hier gebruik van maken en niet zijn aangepast zijn dus kwetsbaar, zoals mailservers, firewalls en applicatieservers.

Technische onderbouwing:
De kritieke kwetsbaarheid bevindt zich in de Linux GNU C library (glibc) en is bekend als GHOST (CVE-2015-0235). Het gevaar komt voort uit de ‘gethostbyname’ functies op Linux-systemen die gebruik maken van glibc-2.2 dat op 10 november 2000 is uitgekomen. Er is op 21 mei 2013 een fix beschikbaar gekomen voor glibc-2.17 en glibc-2.18, echter is deze bij veel populaire distributiesets niet doorgevoerd op latere versies. Het probleem volgt uit een buffer overflow in de glibc welke zowel lokaal als remote kan worden misbruikt en toegang kan geven tot andere onderdelen van het systeem.

SECWATCH biedt de mogelijkheid om Linux-systemen te controleren op deze nieuwe en vooral gevaarlijke kwetsbaarheid en deze situatie op te lossen voordat ergere problemen zich voordoen. Wij gebruiken hiervoor onder andere de cloud-gebaseerde Qualys Vulnerability Management oplossing die aantoont of systemen kwetsbaar zijn voor GHOST en welke maatregelen dienen te worden genomen.

Voor organisaties die reeds een SECWATCH vulnerability management abonnement afnemen wordt deze security scan automatisch meegenomen binnen de overeengekomen periodes, aangevuld met ad-hoc CVE specifieke audits.

Quick Todo List (Server Administrators)

• Check of uw systeem kwetsbaar is
• Valideer de omgevingsvariablen
• Controleer of het systeem internetverkeer (http/https/smtp e.d.) verwerkt
• Patch de systemen zo spoedig mogelijk

Kijk voor meer achtergrondinformatie en handleidingen

• Security Advisory Qualys
• OpenWall Security Advisory CVE-2015-0235

Maar wanneer u echt zeker wilt zijn dat aanvallers niet de GHOST exploit misbruiken en aan de wandel gaan met uw gegevens, dan biedt de SECWATCH Vulnerability Management de betere oplossing. Hiermee maken wij voor u precies inzichtelijk waar de kwetsbaarheden zitten en hoe wij die voor u kunnen oplossen.