Durante la tarde de ayer saltaba la alerta a consecuencia del anuncio realizado por la empresa de seguridad Qualys sobre el descubrimiento de una grave vulnerabilidad en la librería glibc de Linux. Esta vulnerabilidad permitiría a un atacante tomar remotamente el control de un sistema sin conocer las credenciales de acceso.

Gracias a la colaboración realizada entre esta compañía y varias distribuciones de Linux se ha conseguido lanzar parches que solucionan esta grave vulnerabilidad al mismo tiempo que se informa de la misma, instando a todos los usuarios que utilicen una distribución afectada por la vulnerabilidad a actualizar lo antes posible. Gracias a los investigadores que han avisado de esta vulnerabilidad podemos ofrecer más información en este post a partir del original publicado en el blog de Qualys.

Pero empecemos por el principio.

¿Qué es glibc?

La librería GNU C o glibc es una implementación de la librería C estándar y una parte fundamental del sistema operativo Linux. Sin esta librería, un sistema Linux no puede funcionar.

¿Cómo funciona la vulnerabilidad?

Durante una auditoría del código, los investigadores de Qualys descubrieron un fallo de desbordamiento de buffer en la función __nss_hostname_digits_dots() de glibc. Este fallo puede ser aprovechado remotamente usando las funciones gethostbyname*().

Las aplicaciones tienen acceso al traductor de DNS principalmente mediante el conjunto de funciones gethostbyname*() y son estas funciones las que se encargan de traducir un nombre de dominio a una dirección IP.

¿Cuál es el riesgo?

Existe un riesgo de ejecución remota de código si un atacante consigue aprovechar esta vulnerabilidad, ya que obtendría el control completo del sistema vulnerable.

¿Que ataque se podría realizar?

Durante las pruebas realizadas por los investigadores de Qualys, estos consiguieron desarrollar una prueba de concepto en la que enviaban un email creado de forma específica y consiguieron obtener una shell remata en un sistema Linux, saltándose todas las protecciones existentes (como ASLR, PIE y NX) tanto en sistemas de 32 como de 64 bits.

¿Qué puede hacerse para minimizar los riesgos?

La mejor manera de minimizar el riesgo es aplicando el parche proporcionado por las distintas distribuciones de Linux. Los investigadores han trabajado codo con codo con los creadores de las diferentes distribuciones y el parche se encuentra disponible desde ayer, 27 de enero.

¿Por qué se llama GHOST?

Esta vulnerabilidad es conocida como GHOST porque puede ser activada por las funciones GetHOST.

¿Se trata de un fallo de diseño?

No, es un problema de implementación en las versiones del software afectadas.

¿Que distribuciones y versiones de Linux se ven afectadas?

La primera versión de la librería GNU C afectada por esta vulnerabilidad es la glibc-2.2, lanzada el 10 de noviembre de 2000. Se han identificado una serie de factores que mitigan el impacto de este fallo y, en particular, se ha descubierto que fue arreglado el 21 de mayo de 2013 (entre el lanzamiento de las versiones glibc-2.17 y glibc-2.18).

Sin embargo, no fue reconocido como un fallo de seguridad y, en consecuencia, la mayoría de las versiones estables y de soporte de larga duración de las distribuciones se encuentran expuestas. Esto incluye a Debian 7 (wheezy), Red Hat Enterprise Linux 6 y 7, CentOS 6 y 7 y Ubuntu 12.04, por ejemplo.

¿Se puede descargar el exploit?

De forma responsable, los investigadores de Qualys quieren dar el tiempo suficiente a todo el mundo para que parchee sus sistemas. De acuerdo con sus datos, una vez la vulnerabilidad haya llegado a la mitad de su ciclo de vida lanzarán el exploit de forma pública.

De esta forma se evita que se explote activamente en miles de sistemas vulnerables al tiempo que urge a actualizar a aquellos que utilicen una distribución que esté afectada por esta vulnerabilidad.