Dirty COW: πώς αντιμετωπίσαμε το vulnerability στον πυρήνα των Linux

Dirty COW: πώς αντιμετωπίσαμε το vulnerability στον πυρήνα των Linux
Like
Like Love Haha Wow Sad Angry
51

Πρόσφατα, οι χρήστες των Linux σε όλον τον κόσμο ήρθαν αντιμέτωποι με μια ευπάθεια στον πυρήνα των συστημάτων που τα έκανε ευάλωτα σε επιθέσεις τρίτων. Στην Top.Host αντιμετωπίσαμε άμεσα το Dirty COW και παρουσιάζουμε σε αυτό το post τη διαδικασία αντιμετώπισης, αλλά και τις ενέργειες που πιθανόν να χρειαστεί να κάνετε, σε περίπτωση που διαχειρίζεστε κάποιο Linux μηχάνημα.

Τι είναι το Dirty COW;

Πρόκειται για ένα vulnerability στον πυρήνα των Linux που δίνει τη δυνατότητα σε έναν hacker να φτάσει στον πυρήνα του server και να αποκτήσει πρόσβαση σε ολόκληρο το σύστημα. Παρόλο που το Dirty COW είναι γνωστό εδώ και εννέα χρόνια, τις τελευταίες ημέρες διαπιστώθηκαν αρκετά ενεργά exploits, με αποτέλεσμα να ξεκινήσει μια προσπάθεια αντιμετώπισής του από την κοινότητα των Linux.

Πώς αντιμετώπισε το Dirty COW η ομάδα μας;

Από τη στιγμή της αναφοράς των exploits, η ομάδα του Infrastructure της Top.Host παρακολουθούσε στενά τους linux servers και εφάρμοσε άμεσα το απαραίτητο update, μόλις εκδόθηκε το patch για τον πυρήνα των Linux, από το community. Μάλιστα, στην πλειονότητα των servers δεν χρειάστηκε να γίνει καν reboot, κάτι που θα είχε σαν συνέπεια ένα μικρό downtime.

Τι πρέπει να κάνουν οι πελάτες μας που διαθέτουν VPS ή Dedicated Servers;

Από τις ενέργειες της Top.Host είναι ήδη προστατευμένοι όλοι οι πελάτες μας που διαθέτουν shared και reseller πακέτα. Για τους κατόχους unmanaged VPS και dedicated servers, έχουμε συγκεντρώσει τα απαραίτητα βήματα που πρέπει να κάνουν για την αναβάθμιση των servers τους.

Βήμα 1. Ελέγξτε αν ο server σας επηρεάζεται

Αρχικά, θα χρειαστεί να ελέγξετε αν η έκδοση του πυρήνα που διαθέτει ο server σας είναι ανάμεσα σε αυτές που επηρεάζονται.

Για Ubuntu / Debian συστήματα:

Τρέξτε την εντολή:  

uname -rv

Το αποτέλεσμα που θα λάβετε, θα είναι της μορφής:

4.4.0-21-generic #37-Ubuntu SMP Mon Apr 18 18:33:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

Ο server σας επηρεάζεται από το exploit αν η έκδοση του πυρήνα σας είναι προγενέστερη των παρακάτω:

  • 4.8.0-26.28 για Ubuntu 16.10
  • 4.4.0-45.66 για Ubuntu 16.04 LTS
  • 3.13.0-100.147 για Ubuntu 14.04 LTS
  • 3.2.0-113.155 για Ubuntu 12.04 LTS
  • 3.16.36-1+deb8u2 για Debian 8
  • 3.2.82-1 για Debian 7
  • 4.7.8-1 για Debian unstable

Για CentOs συστήματα:

Κάποιες εκδόσεις των CentOS μπορούν να τεστάρουν τους servers χρησιμοποιώντας αυτό το script από την RedHat.

Κατεβάστε το script:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh


Έπειτα, τρέξτε το με bash:

bash rh-cve-2016-5195_1.sh

 

Θα πάρετε ένα αποτέλεσμα της μορφής:

Your kernel is 3.10.0-427.10.1.lve1.4.22.el7.x86_64 which is NOT vulnerable.

Στο παράδειγμά μας ο server δεν επηρεάζεται από το vulnerability. Στην αντίθετη περίπτωση θα λάβετε το μήνυμα ότι ο server είναι ευάλωτος.


Βήμα 2. Διορθώστε το vulnerability

Η επιδιόρθωση είναι απλή και περιλαμβάνει το update του συστήματος και το reboot του server.

Για Ubuntu / Debian συστήματα:

Τρέξτε την εντολή:

sudo apt-get update && sudo apt-get dist-upgrade

 

Για CentOs συστήματα:

Μπορείτε να αναβαθμίσετε όλα τα CentOS 5, 6, and 7 πακέτα με το sudo yum update, αλλά αν επιθυμείτε να αναβαθμίσετε μόνο τον πυρήνα για την αντιμετώπιση του bug, τρέξτε την εντολή:

sudo yum upgrade kernel

 

Για οποιαδήποτε απορία έχετε σχετικά με το vulnerability ή τις παραπάνω διαδικασίες, μην διστάσετε να επικοινωνήσετε με το τμήμα τεχνικής υποστήριξης της Top.Host.

Μέσα από το blog της TopHost προσπαθώ να διερευνήσω και να σας παρουσιάσω όλα τα ζητήματα που είναι πιθανό να σας απασχολήσουν σχετικά με το site σας. Ελπίζω τα blog posts μας να σας φανούν χρήσιμα!
  • Χρηστος Δουσμανοπουλος

    Αν και δεν χρειαστηκε να κανω update στον server της εταιρειας μας το αρθρο σας ηταν φοβερο!! Συνεχιστε την καλη δουλεια και ενημερωση μας!! Ειναι πολυ σημαντικο – βοηθητικο για καποιον που δεν ασχολειται μονο με την παρακολουθηση του server!!

  • Συγχαρητήρια, πραγματικά η πρόνοιά σας στους συνεργάτες και πελάτες σας είναι ανεκτίμητη. Καλή συνέχεια!

  • Andreas Panagiotopoulos

    Ευχαριστούμε για την ενημέρωση, αν και το είχα δεί νωρίτερα και εδώ https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-dirty-cow-linux-vulnerability.

    Το θέμα είναι πώς θα ενημερωνόμαστε έγκαιρα για τέτοια vulnerabilities; Υπάρχουν ομάδες (ή όπως αλλιώς τα λένε) στα social media όπου ανακοινώνονται;

  • Lila Tzamousi

    Καλημέρα Ανδρέα!
    Υπάρχουν πολλά forum και σελίδες που μπορείς να παρακολουθείς.
    Σου παραθέτω ενδεικτικά δύο από τις οποίες ενημερώνεται και η δική μας ομάδα:
    https://access.redhat.com/security/security-updates/#/security-advisories
    https://lwn.net/

Σχετικές αναρτήσεις: