GHOST, una vulnerabilidad crítica en el kernel de Linux desde hace 14 años

Escrito por Rubén Velasco
GNU Linux
2

Linux, pese a ser un sistema operativo mucho más seguro y blindado que Windows, no es invulnerable. En los últimos meses se han descubierto varias vulnerabilidades (generalmente incluidas hace ya varios años por fallos en la programación) que están afectando seriamente a la seguridad de los usuarios de este sistema operativo libre, exactamente como ha ocurrido con GHOST.

Un grupo de investigadores de seguridad de la empresa Qualys ha descubierto una vulnerabilidad dentro de las librerías Glibc que, pese haber sido reportada hace ya dos años, aún no ha sido considerada como importante y muchas distribuciones no han actualizado los módulos correspondientes, por lo que permanecen vulnerables. Glibc es una implementación de la biblioteca de C dentro del propio kernel de Linux de manera que esta forme parte del núcleo del sistema operativo.

GHOST, vulnerabilidad que ha sido identificada como CVE-2015-0235, se introdujo dentro del kernel con el paquete glibc-2.2, lanzado el 10 de noviembre del 2000 y ha estado presente entre los usuarios hasta el día de hoy sin haber sido considerada como excesivamente grave. Los expertos de seguridad afirman que esta vulnerabilidad es tan peligrosa como lo fue el año pasado Heartbleed o Shellshock.

ghost_main

Esta vulnerabilidad se explota a través de la función gethostbyname de glibc, utilizada al conectarse a otros ordenadores dentro de una misma red e incluso para resolver dominios en un servidor DNS remoto, por lo que prácticamente cualquier usuario conectado a Internet o a una red es vulnerable a GHOST. Para explotar esta vulnerabilidad los atacantes deben generar un desbordamiento de búfer mediante un nombre de host inválido de manera que, una vez ocurra, podrán ejecutar código arbitrario dentro de la memoria del sistema (con los permisos del usuario atacado) a incluso llegar a obtener el control completo del mismo.

Esta vulnerabilidad ya fue reportada y parcheada el pasado año 2013 con el lanzamiento de glibc-2.17 y glibc-2.18, sin embargo, al no ser considerada como crítica muchos desarrolladores no actualizaros los módulos de sus distribuciones, siendo aún vulnerables sistemas ampliamente utilizados como 7 Debian (Wheezy), RHEL 5, 6 y 7, CentOS 6 y 7 y Ubuntu 12.04.

Es recomendable que todos los usuarios de Linux actualicen manualmente el módulo correspondiente, e incluso que instalen la versión más reciente del Kernel para poder protegerse de GHOST y evitar que usuarios no autorizados puedan explotar la vulnerabilidad. Muchas aplicaciones como Apache, GnuPG, lighttpd, MySQL y OpenSSH, entre otras, dependen directamente de esta librería, por lo que podrían quedar comprometidas de no actualizar.

¿Has actualizado ya el kernel de Linux o las librerías Glibc para protegerte de GHOST?

Fuente: Help Net Security