Dirty COW: Πώς αντιμετωπίσαμε το vulnerability στον πυρήνα των Linux

Πρόσφατα, οι χρήστες των Linux σε όλον τον κόσμο ήρθαν αντιμέτωποι με μια ευπάθεια στον πυρήνα των συστημάτων που τα έκανε ευάλωτα σε επιθέσεις τρίτων. Στην Top.Host αντιμετωπίσαμε άμεσα το Dirty COW και παρουσιάζουμε σε αυτό το post τη διαδικασία αντιμετώπισης, αλλά και τις ενέργειες που πιθανόν να χρειαστεί να κάνετε, σε περίπτωση που διαχειρίζεστε κάποιο Linux μηχάνημα.

Τι είναι το Dirty COW;

Πρόκειται για ένα vulnerability στον πυρήνα των Linux που δίνει τη δυνατότητα σε έναν hacker να φτάσει στον πυρήνα του server και να αποκτήσει πρόσβαση σε ολόκληρο το σύστημα. Παρόλο που το Dirty COW είναι γνωστό εδώ και εννέα χρόνια, τις τελευταίες ημέρες διαπιστώθηκαν αρκετά ενεργά exploits, με αποτέλεσμα να ξεκινήσει μια προσπάθεια αντιμετώπισής του από την κοινότητα των Linux.

Πώς αντιμετώπισε το Dirty COW η ομάδα μας;

Από τη στιγμή της αναφοράς των exploits, η ομάδα του Infrastructure της Top.Host παρακολουθούσε στενά τους linux servers και εφάρμοσε άμεσα το απαραίτητο update, μόλις εκδόθηκε το patch για τον πυρήνα των Linux, από το community. Μάλιστα, στην πλειονότητα των servers δεν χρειάστηκε να γίνει καν reboot, κάτι που θα είχε σαν συνέπεια ένα μικρό downtime.

Τι πρέπει να κάνουν οι πελάτες μας που διαθέτουν VPS ή Dedicated Servers;

Από τις ενέργειες της Top.Host είναι ήδη προστατευμένοι όλοι οι πελάτες μας που διαθέτουν shared και reseller πακέτα. Για τους κατόχους unmanaged VPS και dedicated servers, έχουμε συγκεντρώσει τα απαραίτητα βήματα που πρέπει να κάνουν για την αναβάθμιση των servers τους.

Βήμα 1. Ελέγξτε αν ο server σας επηρεάζεται

Αρχικά, θα χρειαστεί να ελέγξετε αν η έκδοση του πυρήνα που διαθέτει ο server σας είναι ανάμεσα σε αυτές που επηρεάζονται.

Για Ubuntu / Debian συστήματα:

Τρέξτε την εντολή:  

uname -rv

Το αποτέλεσμα που θα λάβετε, θα είναι της μορφής:

4.4.0-21-generic #37-Ubuntu SMP Mon Apr 18 18:33:37 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

Ο server σας επηρεάζεται από το exploit αν η έκδοση του πυρήνα σας είναι προγενέστερη των παρακάτω:

• 4.8.0-26.28 για Ubuntu 16.10
• 4.4.0-45.66 για Ubuntu 16.04 LTS
• 3.13.0-100.147 για Ubuntu 14.04 LTS
• 3.2.0-113.155 για Ubuntu 12.04 LTS
• 3.16.36-1+deb8u2 για Debian 8
• 3.2.82-1 για Debian 7
• 4.7.8-1 για Debian unstable

Για CentOs συστήματα:

Κάποιες εκδόσεις των CentOS μπορούν να τεστάρουν τους servers χρησιμοποιώντας αυτό το script από την RedHat.

Κατεβάστε το script:

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

Έπειτα, τρέξτε το με bash:

bash rh-cve-2016-5195_1.sh

Θα πάρετε ένα αποτέλεσμα της μορφής:

Your kernel is 3.10.0-427.10.1.lve1.4.22.el7.x86_64 which is NOT vulnerable.

Στο παράδειγμά μας ο server δεν επηρεάζεται από το vulnerability. Στην αντίθετη περίπτωση θα λάβετε το μήνυμα ότι ο server είναι ευάλωτος.

Βήμα 2. Διορθώστε το vulnerability

Η επιδιόρθωση είναι απλή και περιλαμβάνει το update του συστήματος και το reboot του server.

Για Ubuntu / Debian συστήματα:

Τρέξτε την εντολή:

sudo apt-get update && sudo apt-get dist-upgrade

Για CentOs συστήματα:

Μπορείτε να αναβαθμίσετε όλα τα CentOS 5, 6, and 7 πακέτα με το sudo yum update, αλλά αν επιθυμείτε να αναβαθμίσετε μόνο τον πυρήνα για την αντιμετώπιση του bug, τρέξτε την εντολή:

sudo yum upgrade kernel

Για οποιαδήποτε απορία έχετε σχετικά με το vulnerability ή τις παραπάνω διαδικασίες, μην διστάσετε να επικοινωνήσετε με το τμήμα τεχνικής υποστήριξης της Top.Host.