Mình xin thông báo thông tin về lổ hổng bảo mật mới trên hệ điều hành Linux (06/2017) với tên gọi Stack Clash, đồng thời trong bài này mình cũng khuyến nghị các bạn thực hiện việc cập nhật các bản vá phần mềm để phòng tránh lỗ hỏng bảo mật Stack Clash.
1. Thông tin lỗ hổng bảo mật Stack Clash
Đối với các gamer chắc thuật ngữ “Clash” quen thuộc hơn là Stack vì tựa game mobile quá đình đám Clash of Clans.
Tuy nhiên lần này vấn đề lại liên quan đến bảo mật, nằm ở Stack và Heap, hai thuật ngữ được dùng trong việc quản lý bộ nhớ của Hệ điều hành, lỗi này xảy ra khi Stack và Heap bằng cách nào đó trộn lẫn với nhau mà hệ điều hành không “phát hiện được”. Thông thường thì nhân linux sẽ raise page-fault exception khi vùng nhớ trên stack bị tràn tuy nhiên nếu có một vùng nhớ được map trực tiếp dưới stack thì lỗi này sẽ xảy ra.
Được giới thiệu đầu tiên tại Hội nghị bảo mật CansSecWest vào 2005 và từ đó đến nay sau 12 năm hãng an ninh mạng Qualys lại một lần nữa phát hiện trong toàn bộ các hệ điều hành nhân linux, bsd như Linux, FreeBSD, OpenBSD, Solaris…
Có tổng cộng 24 CVEs trên các hệ điều hành liên quan đến lỗi này bao gồm nhiều ứng dụng ở userland như sudo, exim mail server …
Bằng cách tận dụng lỗi này, attacker có thể chiếm quyền điều khiển hệ thống thông qua các chương trình có cờ setuid như sudo … ngoài ra một số ứng dụng khác có thể bị lỗi tấn công từ xa. Sau khi chiếm được quyền điều khiển server thì hacker có thể dùng mã độc wannacry để tống tiền bạn hoặc xoá dữ liệu trên server…
2. Cách bảo vệ server trước lỗ hổng Stack Clash
Để kiểm tra server của bạn có bị ảnh hưởng bởi lỗ hổng Stack Clash hay không thì bạn thực hiện các bước sau:
– Login vào server với quyền root.
– Chạy lệnh :
# wget https://access.redhat.com/sites/default/files/cve-2017-1000366_2.sh && bash cve-2017-1000366_2.sh
Nếu chương trình xuất ra dòng chữ màu đỏ và output như dưới thì server của bạn có nguy cơ bị hacker khai thác lỗ hổng Stack Clash.
This script is primarily designed to detect CVE-1000366 on supported Red Hat Enterprise Linux systems and kernel packages. Result may be inaccurate for other RPM based systems. Detected 'glibc' packages are: glibc-2.12-1.209.el6_9.1.x86_64 glibc-2.12-1.209.el6_9.1.i686 Detected running kernel is '2.6.32-696.1.1.el6.x86_64'. This 'glibc' version is vulnerable. Update 'glibc' package and restart the system. Follow https://access.redhat.com/security/vulnerabilities/stackguard for advice. This 'kernel' version is vulnerable. Update 'kernel' package and restart the system. Follow https://access.redhat.com/security/vulnerabilities/stackguard for advice.
Vì tính chất nghiêm trọng bảo mật Linux của lỗ hổng cũng như các rủi ro lớn khi server bị khai thác bằng lỗ hổng này, mình khuyến khích mọi người thực hiện ngay việc cập nhật kernel của hệ điều hành và gói phần mềm glibc theo các bước sau:
+ Đối với hệ điều hành dòng CentOS/Redhat
– Login vào server bằng tài khoản root và thực hiện lệnh :
# yum update kernel* glibc*
– Reboot server để server chạy với kernel mới bằng lệnh :
# reboot
+ Đối với hệ điều hành dòng Debian/Ubuntu
– Login vào server bằng tài khoản root và thực hiện lệnh :
# apt-get update && sudo apt-get upgrade
– Reboot server để server chạy với kernel mới bằng lệnh
# reboot
+ Đối với hệ điều hành Fedora
– Login vào server bằng tài khoản root và thực hiện lệnh :
# dnf update # reboot
+ Đối với hệ điều hành Opensuse/Suse Enterprise Linux
# zypper patch # reboot
Sau khi update bản vá và khởi động lại dùng lệnh để kiểm tra phiên bản kernel:
# uname -mrs
Hoặc bạn có thể fix tạm thời ở kernel, các anh chị/các bạn quản trị hệ thống cần update boot kernel parameter bằng cách add: “stack_guard_gap=1” trong grub config trong các hệ thống quan trọng mà bạn quản lý.
Hy vọng các bạn sớm cập nhật các bản vá lỗi trên hệ thống để phòng ngừa và ngặn chặn rủi ro bị khai thác tấn công từ lỗ hổng “Stack Clash“.
Một số link thông tin bạn có thể tham khảo thêm:
– https://access.redhat.com/security/vulnerabilities/stackguard
– https://blog.qualys.com/securitylabs/2017/06/19/the-stack-clash
– http://thehackernews.com/2017/06/web-hosting-ransomware.html
Quách Chí Cường (Theo VINADATA.VN)
