Sicherheitsleck “Ghost” bedroht Linux-Systeme

Ghost Vulnerability in glibc. (Bild: Qualys)

Das Leck lässt sich Sicherheitsexperten zufolge mit Heartbleed oder Shellshock vergleichen, denn nahezu sämtliche Linux-Distributionen sind von dem Fehler betroffen. Das Leck CVE-2015-0235 lasse sich lokal und remote ausnutzen.

Verschiedene Sicherheitsforscher melden eine kritische Schwachstelle in Linux. Zahlreiche Web- und Mail-Server und andere Linux-Systeme sind von ‘Ghost’, dem Leck in glibc library betroffen. Das ist eine zentrale Komponente von Linux-Systemen. Die GNU C Library  – kurz glibc – ist eine Implementierung der Standar-C-Library, ohne die Linux nicht funktionsfähig ist. Auch Sprachen wie Python oder Ruby, die ebenfalls diese Library nutzen, könnten betroffen sein. Angreifer können über das Leck CVE-2015-0235 damit die Kontrolle über ein System übernehmen. Den Namen hat der Schädling, weil über die GetHOST Funktion in __nss_hostname_digits_dots() ein Buffer-Overfolw provoziert werden kann.

Informationen zu diesem Bug wurden zu allererst – möglicherweise aus Versehen – über ein französische Mailingliste verbreitet.

Nun haben Sicherheitsforscher des Anbieters Qualys einen Proof-of-Concept-Exploit-Code veröffentlicht. Damit sollen sie in der Lage gewesen sein, einen Angriff auf den Exim-Mail-Server auszuführen. Dabei, so die Forscher in einem Blog, haben sie eine manipulierte Mail an den Mailserver geschickt und dabei auch gängige Sicherheitsmechanismen wie ASLR, PIE und NX umgangen haben. Durch die Mail konnten sie eine Remote Shell zu dem Linux-Server herstellen und haben damit die vollständige Kontrolle über das System erlangt. Das sei sowohl auf 32- wie auch auf 64-Bit-Rechnern möglich gewesen.

Allerdings scheint es sich nicht um einen einen Bug im herkömmlichen Sinne zu handeln, sondern die Sicherheitsexperten von Qualis sprechen von einem Implementierungs-Problem. Die älteste von diesem Problem betroffene Version der GNU C Library ist glibc-2.2, die am 10. November 2000 veröffentlicht wurde. Zwischen den Releases glibc-2.17 und glibc-2.18 im Mai 2013 wurde auch ein Fix für das Problem veröffentlicht. Allerdings sei dieser Fehler damals nicht als Sicherheitsproblem erkannt worden und somit sind es vor allem Langzeit-Support-Versionen wie Debian 7, Red Hat Enterprise Linux 6 und 7, CentOS 6 und 7 sowie neben weiteren auch Ubuntu 12.04. bei Suse Enterprise Linux sind alle Versionen bis Version 11 betroffen. OpenSuse 13.1 und 13.2 sind hingegen nicht betroffen, wie aus einem Advisory hervorgeht.

Ghost Vulnerability in glibc. (Bild: Qualys)
Noch ist die Bedrohung, die von Ghost ausgeht, überschaubar. Sollte es jedoch Hackern gelingen, einen Exploit zu entwickeln, könnte das weitreichende Folgen haben. (Bild: Qualys)

Die Experten von Qualys hatten bereits im Vorfeld ihrer Veröffentlichung den Fehler an die Distributoren gemeldet. Qualys werde nach gegebener Zeit auch den Exploit-Code veröffentlichen. Über das Qualys Vulnerability Management können Anwender testen, ob ihre Systeme verwundbar sind.

“Linux-basierte Geräte von einer Vielzahl von Anbietern sind betroffen, aber wie bei den meisten Schwachstellen auf Library-Ebene ist der genaue Angriffvektor noch weitgehend unbekannt”, so HD Moore, Chief Research Officer bei dem Sicherheitsanbieter Rapid7. Anwender sollten daher bei den entsprechenden Anbietern erfragen, ob ihre Systeme tatsächlich verwundbar sind.

Moore ruft daher auch zur Gelassenheit auf: “Dies bedeutet NICHT das Ende des Internets, wie wir es kennen, noch ist diese Sicherheitslücke ein weiterer Heartbleed-Fall.”

Neuere Anwendungen und auch IPv6 nutzen mit getaddrinfo() eine andere Technologie, diese Tatsache minimiere neben weiteren die Auswirkungen des Lecks, wie es im Advisory von Qaulys heißt. Zudem würden viele Programme vor allem SUID-Binaries gehtostbynabe() nur unter bestimmten und eher unwahrscheinlichen Fällen nutzen.

Moore schätzt, dass diese Schwachstelle im Allgemeinen nicht so einfach auszunutzen sei. Der Exim-Mailserver lasse sich jedoch offenbar leicht übernehmen. Sollten Hacker jedoch dazu übergehen die Lücke auszunutzen, “könnte das potenziell böse Folgen haben. Deshalb empfehlen wir sofortige Patches und einen Reboot. Ohne Reboot werden Services, die die alte Library verwenden, nicht neu gestartet werden.”

Daher, sei dieses Leck auch relativ schwierig zu beheben, kommentiert Matthias Geniar, Open-Source-Sicherheitsexperte bei Nucleus in einem Blog. “Das glibc Package wird von einer Menge laufender Services verwendet und jeder dieser Services muss nach dem Update neu gestartet werden.” Über den Befehl ” $ lsof | grep libc | awk ‘{print $1}’ | sort | uniq ” lassen sich alle offenen Dateien (lsof) mit Bezug zu libc auflisten.

“Patches für die verbreitetsten Linux Versionen werden gerade veröffentlicht und sollten unbedingt auf allen gefährdeten Systemen aufgespielt werden, die Services nutzen, welche über das Internet zugängig sind”, wendet Gavin Millard, EMEA Technical Director, Tenable Network Security, ein.  “Genauso wie zuvor bei ShellShock und Heartbleed, ist eine enorm große Zahl an Systemen anfällig für derartige Angriffe. Deshalb gilt es nun, alle betroffenen Systeme schnellstmöglich zu identifizieren und die Patches aufzuspielen, um die Gefahr eines Datenverlusts senken zu können.”

Millard glaubt, dass sich anfällige Glibc-Versionen sich wahrscheinlich auf fast jedem Linux Server befinden. Allerdings gibe es auch gute Nachrichten: “Ausgeschlossen sind allerdings kleinere, embedded Systeme, aufgrund der Größe von Glibc. Dies bedeutet glücklicherweise, dass die Millionen von IoT-Geräte (Internet of Things) und auch die Router in Privathaushalten, für die es keine oder sehr viel seltener Patches gibt, wahrscheinlich nicht davon betroffen sind.”

Von RedHat, Ubuntu und Debian liegen bereits Updates vor.