GHOST: kritieke kwetsbaarheid in Linux (CVE-2015-0235)

GHOST: kritieke kwetsbaarheid in Linux (CVE-2015-0235)

DearBytesAlertsGHOST: kritieke kwetsbaarheid in Linux (CVE-2015-0235)

donderdag 29 januari 2015

ghost-linux-security-vulnerabilityWat is er aan de hand met GHOST?

Op dinsdag 27 januari is een ernstige kwetsbaarheid in GNU lib C (Glibc) bekend gemaakt. De Glibc bibliotheek is een standaard onderdeel van veel Linux implementaties. De kwetsbaarheid heeft het nummer CVE-2015-0235 gekregen en wordt door security experts ook wel “GHOST” genoemd. De CVSS-score die aan de GHOST kwetsbaarheid is toegekend is momenteel 6.8.

De GHOST kwetsbaarheid stelt een aanvaller in specifieke gevallen in staat om op afstand code uit te voeren op een kwetsbaar systeem.

Op moment van schrijven is misbruik in praktijk nog niet gezien. Wel wordt er op het moment naarstig gezocht naar kwetsbare implementaties.

De GHOST kwetsbaarheid is initieel ontdekt door onderzoekers van Qualys. Deze onderzoekers hebben aangegeven een Metasploit module uit te brengen die een aanvaller in staat stelt om op afstand de GHOST kwetsbaarheid uit te buiten in Exim, een populaire linux mail server.

Waarom is de GHOST kwetsbaarheid belangrijk?

Glibc is een standaard C bibliotheek. Dit betekent dat een groot aantal Linux applicaties gebruik maken van de bibliotheek en dus mogelijk gebruik maken van de kwetsbare functie. Het totaal aantal kwetsbare systemen wereldwijd door GHOST is hierdoor zeer groot, maar ook is het lek op veel verschillende manieren aan te vallen. De dreiging neemt toe omdat Linux veel gebruikt wordt in apparatuur die rechtstreeks vanaf het internet benaderbaar is. Aanvallers kunnen daardoor eenvoudig en zo goed als onherleidbaar de GHOST kwetsbaarheid proberen uit te buiten.

Op wie is GHOST van toepassing?

De GHOST kwetsbaarheid is van toepassing op zo goed als elke gebruiker van Linux. Alle systemen die gebruik maken van Glibc versie 2.2 gepubliceerd op 10 november 2000 tot en met 2.17 gepubliceerd op 21 mei 2013. Deze versies komen mogelijk voor in uw beheerde systemen. In bedrijfsnetwerken is de kans ook groot dat embedded apparatuur draait op een versie van Linux die kwetsbaar is door GHOST.

De volgende Linux distributies hebben reeds updates beschikbaar gesteld:

Wat kunt u doen aan GHOST?

Wij adviseren u alle kwetsbare Linux systemen in uw netwerk te identificeren en deze zo snel mogelijk te voorzien van een update. Daarbij is het belangrijk te beginnen met de extern benaderbare servers en vervolgens de intern beschikbare server te voorzien van een update.

Het identificeren van kwetsbare systemen in het netwerk kan middels een vulnerability scan. Dit kan zodra uw vulnerability scanner is bijgewerkt met een script om deze kwetsbaarheid te herkennen. Neem contact op met DearBytes indien u hierbij ondersteuning wenst.

Lees ook de verschillende bulletins van onze partners:

Wat doet DearBytes Managed Services?

Voor klanten waar DearBytes het beheer uitvoert van vulnerability management, zal DearBytes een inventarisatie maken van door GHOST kwetsbare systemen en deze rapportage met u delen, zodra het scannen op kwetsbaarheden mogelijk is.
Voor klanten waar DearBytes het beheer uitvoert van Intrusion Prevention / Detection zullen, zodra deze beschikbaar zijn, detectierules worden geactiveerd om misbruik te herkennen en – na uw akkoord – te blokkeren.

De klanten in kwestie zullen op individueel niveau nader worden geïnformeerd.