CSIRT Panamá Aviso 2015-01- Vulnerabilidad GHOST (CVE-2015-0235)

CSIRT Panamá Aviso 2015-01- Vulnerabilidad GHOST (CVE-2015-0235)
Gravedad: ALTA
Fecha de publicación: Enero, 2015
Fecha de modificación: Enero, 2015
Última revisión: Revisión A.

Sistemas afectados
• RHEL (Red Hat Enterprise Linux) versión 5.x, 6.x y 7.x
• CentOS Linux versión 5.x, 6.x & 7.x
• Ubuntu Linux versión 10.04, 12.04 LTS
• Debian Linux versión 7.x
• Linux Mint versión 13.0
• Fedora Linux version 19 o anterior
• SUSE Linux Enterprise 11 and older (también OpenSuse Linux 11 o versiones anteriores).
• Arch Linux glibc versión 2.18-1 o anteriores

I. Descripción
GHOST es una seria vulnerabilidad en la librería glibc en Linux, específicamente en la familia de funciones GetHost (gethostbyname por ejemplo). Esta función es utilizada para conectarse a otras computadoras dentro de una red o incluso para resolver dominios en un servidor DNS remoto, por lo que prácticamente cualquier usuario conectado a Internet o a una red es vulnerable. Esta vulnerabilidad permite a los atacantes tomar control de la máquina objetivo sin la necesidad de conocer las credenciales previamente, mediante el desbordamiento de búfer por medio de un nombre de host inválido a través de la función __nss_hostname_digits_dots. El CVE asignado para esta vulnerabilidad es: CVE-2015-0235.

II. Impacto
Vector de acceso: A través de red.
Complejidad de Acceso: Baja.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total de la integridad del sistema, Compromiso total de la disponibilidad del sistema, Compromiso total de la confidencialidad del sistema.

III. Detección
La vulnerabilidad GHOST ha sido identificada con el código CVE-2015-0235. La misma fue introducida dentro del kernel con el paquete glibc-2.2 el 10 de noviembre de 2000. Sin embargo, esta vulnerabilidad fue parcheada en el año 2013 con el lanzamiento de glibc-2.17 y glibc-2.18, pero al no ser considerada como crítica muchos desarrolladores decidieron no actualizar los módulos de sus distribuciones, siendo aún vulnerables sistemas ampliamente utilizados como Debian 7 (Wheezy), RHEL 5,6 y 7 CentOS 6 y 7 y Ubuntu 12.04.
La forma más fácil de verificar el número de versión es mediante la siguiente:
$ldd –version
La salida de esta instrucción, a manera de ejemplo, es la siguiente:
~$ ldd –version
ldd (Debian EGLIBC 2.13-38+deb7u6) 2.13
Copyright (C) 2011 Free Software Foundation, Inc.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.

III. Mitigación
Actualizar el software
Se recomienda realizar una actualización del sistema con el fin de solucionar esta vulnerabilidad. Existen parches disponibles para Ubuntu y Red Hat. La versión de la librería GNU C 2.18 y superior también están disponibles para que sea implementada.

IV. Información adicional
[1] https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
[2] https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
[3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235