GHOST bug gevonden in de Linux glibc library

1 min. leestijd

Share

GHOST glibc gethostbyname() buffer overflow vulnerability (CVE-2015-0235)

De GHOST vulbarability is een kritieke tekortkoming in de Linux GNU C Library (glibc). De bug zorgt ervoor dat hackers de volledige controle van het systeem op afstand kunnen overnemen. Dit zonder enige voorkennis van betreffende het systeem of referenties.

De bug werd twee jaar geleden ontdekt en gepatcht. Vandaag is gebleken dat deze ook als exploit gebruikt kan worden om code op Linux systemen uit te voeren en het systeem volledig over te nemen.

De benaming GHOST (CVE-2015-0235), komt van omdat hij te activeren is door de GetHost functies. GHOST is van invloed op veel systemen gebouwd op Linux vanaf glibc-2.2 (2000).

Glibc

De GNU C Library or Glibc is een implementatie van de standaard C Library. Het is een core onderdeel van het LINUX besturingssysteem, zonder deze kan het gehele LINUX systeem niet functioneren.

Risico en oplossing

Tijdens een code audit ontdekte Qualys onderzoekers een buffer overflow in de __nss_hostname_digits_dots () functie van glibc. Deze bug kan zowel lokaal als op afstand via alle gethostbyname functies worden geactiveerd. Toepassingen hebben toegang tot de DNS resolver voornamelijk door de gethostbyname instellen van functies. Deze functies zetten een hostnaam naar een IP-adres.

Toelichting Operations Infradata

On January 27, 2015, Qualys announced the GHOST vulnerability:

The GHOST vulnerability is a serious weakness in the Linux glibc library. It allows attackers to remotely take complete control of the victim system without having any prior knowledge of system credentials.

The issue was found in the gethostbyname() and gethostbyname2() functions in within the glibc library. If vulnerable, this issue could potentially allow an attacker to gain remote code execution with the privilege of the user of the exploited application or service.

Vulnerable Products:

Junos Space
CTPView
CTP

Products Not Vulnerable:

Junos – Junos OS does not use the glibc library.
Products Under Investigation:
QFabric Director
JUNOSe
NetScreen ISG/SSG firewalls
IDP-SA
SRC
Firefly Host/vGW
NSM server and NSM3000/NSMXpress appliance

Conclusion

The affected gethostbyname() functions are primarily called in response to references to DNS host names and addresses from the CLI. ​Use access lists or firewall filters to limit access to networking eqiupment via CLI only from trusted hosts. Other attack vectors are still being researched. In addition to the recommendations listed above, it is good security practice to limit the exploitable attack surface of critical infrastructure networking equipment. Use access lists or firewall filters to limit all administrative access to networking equipment only from trusted, administrative networks or hosts.

Meld je aan voor onze nieuwsbrief

Ontvang het laatste security nieuws, inzichten en markttrends in jouw inbox.

Artikelen

Meer updates