Qrator Labs, специализирующаяся на противодействии DDoS-атакам, и компания Wallarm, занимающаяся безопасностью веб-сайтов, сообщили об угрозе взлома серверов Linux в связи с публикацией информации о критической уязвимости GHOST. По своим масштабам новая проблема вполне может быть сопоставимой с ранее обнаруженными уязвимостями, такими как Heartbleed и Shellock.

Новая серьезная уязвимость GHOST позволяет злоумышленникам удаленно захватить контроль над серверами Linux. Информация об уязвимости опубликована специалистами американской компании Qualys.

Ошибка кроется в библиотеке GNU C Library (glibc), являющейся неотъемлемой частью Linux — операционной системы, которая не столь часто используется на домашних устройствах, но является оплотом для построения инфраструктуры большинства интернет-компаний.

Вероятно, учитывая серьезность проблемы, специалисты из Qualys не опубликовали в открытом доступе так называемый эксплоит — инструментарий, позволяющий использовать найденную ошибку для получения результата (в данном случае захвата сервера). Однако в лаборатории специалисты компании смогли получить доступ к командной строке сервера, отправив специально сформированное email-сообщение, которое эксплуатирует уязвимость.

В отличие от нашумевшей в 2014 году уязвимости Heartbleed, найденной в библиотеке OpenSSL и позволяющей читать память сервера, сейчас злоумышленник имеет возможность реализовать атаку «Удаленное выполнение кода» (RCE) и сразу получить контроль над операционной системой.

В продолжение прошлогоднего тренда, когда серьезным уязвимостям присваивались звонкие имена, нынешнюю брешь назвали GHOST. Это игра слов с названием уязвимых функций gethostbyname() и gethostbyname2().

Уязвимы системы Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04 — многие из них являются так называемыми дистрибутивами с длительной поддержкой (TLS) и потому повсеместно используются. Для того чтобы обезопасить свои серверы, необходимо установить патч (заплатку) на систему от своего Linux-вендора, которые были заранее уведомлены об уязвимости и сегодня должны выпустить обновления.

«Ghost — уязвимость, конечно, не такая суровая, как Heartbleed, поскольку задевает только сервера. Но сервера — это неотъемлемая часть инфраструктуры, обычно с хорошей связностью и дорогими данными», — прокомментировал Александр Лямин, руководитель Qrator Labs.

«От тотального заражения пока спасает относительная сложность эксплуатации уязвимости. Ведь в сравнении с недавним нашумевшим Shellshock мы имеем выполнение бинарных инструкций, а не консольных команд. Для рабочей эксплуатации необходимо обойти несколько механизмов защиты, предусмотренных в ядре операционной системы Linux. Однако, это только дает время защищающейся стороне», — отметил Иван Новиков, генеральный директор Wallarm.

Пресс-релиз

Версия для печати