Räpased koduloomad serverites – Dirty COW
Antud blogipostitus on 88 kuud vana ning ei pruugi olla enam ajakohane.
Eelmisel nädalal parandati esialgu suurema kärata Linuxi kernelis mäluhalduse viga, mis on suutnud seal 9 aastat märkamatuks jääda. Peagi selgus, et asi on oluliselt tõsisem kui paranduse tekstist arvata võis – viga kasutatakse pahatahtlike häkkerite poolt juba aktiivselt ära ning tõenäoliselt on seda tehtud juba pikemat aega. Probleem on niivõrd tõsine, et sundis teenusepakkujaid üle maailma erakorralisi hooldustöid ette võtma ning on teada ka juhtumeid, kus halvima ära hoidmiseks teenustel paranduse paigaldamiseni sõna otseses mõttes juhe seinast tõmmati. Ka Zone tehnikutel olid nädala lõpus käed tööd täis. Ning nagu tõsiste turvaprobleemide puhul tänapäeval tavaline, sai probleem oma veebilehe, logo ja nime – Dirty COW.
Miks selline paanika? Lühidalt saavad süsteemi tavakasutajad leitud viga ära kasutades kirjutada mälupiirkondadesse, kuhu kirjutamise õigust neil olla ei tohiks, ning sellisel moel oma õigusi süsteemis suurendada. Koos vea avalikustamisega käivitus ka võistlus koodikirjutajate vahel – kes suudab välja tulla lihtsama ning töökindalama meetodiga, kuidas anda tavakasutajale root kasutaja õigused ja seega täielikku kontrolli kogu süsteemi üle? Tänaseks on Internetis vabalt saada mitmeid koodijuppe, mis teevad seda nii hästi, et nende kasutamine pole mingi probleem ka kõige kogenematule pahalasele. Kui alguses levis ka info, kuidas süsteemi uuendamata enda süsteeme kaitsta, siis praegu levivate ründeprogrammide vastu on need kasutud. Ainuke toimiv kaitse on kerneli uuendamine.
K: Kes/mis on mõjutatud?
V: Kõik Linuxi süsteemid, mis kasutavad kerneli versiooni 2.6.22 või uuemat. Kuna 2.6.22 ilmus aastal 2007, siis võib põhimõtteliselt vist öelda – pea kõik maailmas leiduvad Linuxid, mida pole viimase nädala jooksul tahtmatult või tahtlikult uuendatud. Alloloevast nimekirjast leiad populaarsemate Linuxi distributsioonide kernelite versioonid, kus viga juba parandatud. Kui sinu süsteemis on kerneli versiooninumber (seda saad vaadata käsuga „uname -rv“) väiksem kui tabelis, on süsteem haavatav.
- Ubuntu 16.10 – 4.8.0-26.28
- Ubuntu 16.04 LTS – 4.4.0-45.66
- Ubuntu 14.04 LTS – 3.13.0-100.147
- Ubuntu 12.04 LTS – 3.2.0-113.155
- Debian 8 – 3.16.36-1+deb8u2
- Debian 7 – 3.2.82-1
- RedHat/Centos 7 – 3.10.0-327.36.3
K: Mida ma teha saan?
V: Aitab ainult kerneli uuendamine. Kui su hallata on süsteemid, mis veel uuendamata, tee seda niipea kui võimalik.
K: OK, aga mida ma Zone kliendina tegema pean?
V: Kui kasutad meie tarkvaraplatvormiga serveriteenust (nagu Virtuaalserver või Nutikas Privaatserver) või Pilverserver VPS-i, kannab uuendamise eest hoolt Zone. Küll aga pead sa ise muret tundma ja tegutsema, kui oled Privaatserveri või Pilveserver Pro SSD kasutaja.
K: Kui mu süsteemis shelli kasutajaid pole, pole probleemi?
V: Probleem on ikka, lihtsalt natuke keerulisem ära kasutada. Interneti pimedamates nurkades on juba levimas ka valmiskomplektid stiilis “WordPressi turvaveaga tavakasutajaks + räpase lehmaga root kasutajaks”. Kui su Linux on Internetiga ühendatud, on selle turvalisus ohus.
Viited
https://dirtycow.ninja/
https://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html
https://security-tracker.debian.org/tracker/CVE-2016-5195
https://access.redhat.com/security/vulnerabilities/2706661