Media har nu snappat upp och larmar hårt om en (allt annan än) ny sårbarhet i linuxkärnan, eller en funktion , Copy On Write. Sårbarheten ligger i subsystemet för minneshanteringen – och kan skapa stora problem – hur?

Vad handlar CVE-2016-5195 om?

Dirty COW handlar om att lokala konton, oavsett begränsning så länge de har rättigheten att läsa kod kan skapa en möjlighet att få tillgång till rena systemrättigheter lokalt.
Det betyder att det är privilege escalation som är det faktiska problemet, man kan få full tillgång till systemet om man har någon tillgång till att börja med. Även Android-system kan vara sårbara för detta (mängden information om detta är dock knapphänt, och några kopplingar till existerande kod i det vilda som nyttjar detta är vid skrivande stund ej noterat).

Ett system som är anslutet till internet, behöver därför redan ge tillgång till systemet på något sätt, och ett lokalt konto behöver köra koden för att exploiten skall vara lyckad.
Lokala användare kan exempelvis luras att köra koden ifråga.

Flertalet tillverkare, har redan skickat ut uppdateringar som skall lösa problemet.

Problemet noterades redan runt version 2.6.22 (släppt under 2007) av linuxkärnan men var ej korrekt åtgärdad förrens den 18:e oktober 2016.

Hur kan detta ske?

Detta är en lokal exploit – den kan endast med hjälp av andra funktioner nyttjas lokalt.

Sårbarheten är inte nåbar utan att det finns någon typ av tjänst som lyssnar, eller alternativt att en användare själv är delaktig i att köra den skadliga koden. Praktexemplet är tillexempel att kombinera denna sårbarhet med en annan, där man man nyttja en inväg för att ladda upp data och få systemet att köra koden.

Ett Proof of Concept finns här:

https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c

Sårbarheten har noterats ”in the wild” sedan i oktober, det vill säga att den aktivt har använts.

Vad är effekten?

Den faktiska effekten är möjlig full tillgång till det utsatta systemet.

Hur skyddar du dig?

Kontrollera sårbarhets-information hos din leverantör – de flesta har redan påbörjat att skicka ut en lösning, eller har redan publicerat en lösning via sina uppdateringsfunktioner. Notera att det handlar då att ta bort möjligheten att lyfta rättigheter.
Har ett system redan påverkats, och en infektionskedja skapats så behöver man ta till mer drastiska åtgärder och hantera systemet som infekterat enligt sin interna rutin.

Har ni exempelvis RedHat system, så finns det ett bash-skript som kan ge ett rakt svar (kontrollera alltid koden innan ni kör den oavsett källa):

wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh

Generellt är man sårbar om man har följande versioner (fler finns):

  • 4.8.0-26.28 Ubuntu 16.10
  • 4.4.0-45.66 Ubuntu 16.04 LTS
  • 3.13.0-100.147 Ubuntu 14.04 LTS
  • 3.2.0-113.155 Ubuntu 12.04 LTS
  • 3.16.36-1+deb8u2 Debian 8
  • 3.2.82-1 Debian 7
  • 4.7.8-1 Debian unstable

Källa för informationen ovan:
https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-dirty-cow-linux-vulnerability

Mer information för Debian finns att finna under:
https://security-tracker.debian.org/tracker/CVE-2016-5195

Se därför över era resurser (exempelvis) :

  • Servrar skall alltid skyddas av perimeter-skydd när dessa placeras publikt, för respektive tjänst som är tillgänglig.
  • Servrar skall alltid hållas uppdaterade, perimeterskyddet i form av IPS är krasst sett endast ett korttids-skydd eller larm för att ge er en ”virituell patchning” innan faktisk uppdatering.
  • Uppdatera samtliga system löpande – var medveten om vilka inkällor ni har mot servrar, och vilka backend funktioner som finns på respektive server.
  • Lita endast på signerade installationspaket och betrodda repositories.

Vad kan NSEC och SuperVision göra?

Kort sammanfattat, mycket.
Det första steget är att göra er medvetna om detta, information!
Andra steget är beroende på de tjänster ni har:
De olika tjänsterna kontrollerar löpande tillsammans med våra analytiker att rätt skyddsnivåer uppehålls där det går.

Fler länk-resurser:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5195

Mvh

Björn Nilsson Technical Business Manager – Network Security