Het kersverse lek in de Linux-kernel wordt al misbruikt. Het gaat weliswaar om een lek voor lokale gebruikers, maar servers worden via gekaapte webserveraccounts geheel overgenomen.
Dit beveiligingsgat zit in de 32-bit compatibiliteitslaag voor 64-bit uitvoeringen van Linux en is vorige week ontdekt. Feitelijk is het lek herontdekt, want het is eerder al ontdekt én gedicht. De patch van 2007 blijkt echter per ongeluk weer 'ingetrokken' te zijn door kernelontwikkelaars.
Snel op gesprongen
Hackers duiken nu snel op dit lek. Hostingbedrijf iWeb geeft aan dat diverse websites op één van zijn gedeelde hostingservers zijn gekaapt via dit Linux-lek. Security-expert Manuel Humberto Santander Pelaez van het Internet Storm Center (ISC) meldt in een ISC-waarschuwing dat zijn bedrijf, het Colombiaanse EPM, verdacht gedrag waarnam op een Linux-server.
Voor succesvol misbruik moet een aanvaller wel een lokaal account op de Linux-server hebben. Machines die webservers hosten, hebben vaak veel lokale accounts; voor elk van de klanten die een website draaien. Een ssh-inlog met beperkte rechten, veelgebruikt voor beperkt beheer van websites, zou al afdoende zijn om binnen te komen via dit lek.
De code om misbruik te maken van dit beveiligingsgat in Linux is ook al publiekelijk beschikbaar gesteld. Daarbij heeft hacker Ac1db1tch3z zijn exploitcode voorzien van de mogelijkheid een backdoor te installeren op een gekraakt Linux-systeem. Via die achterdeur kan een hacker later nog binnenkomen, ook als dit kernellek is gedicht.
Rebooten
Er is al een algemene patch voor Linux, die leveranciers zoals Red Hat, ook hebben verwerkt in hun Linux-distributies. Installatie van die patch vereist wel een reboot van de server, wat het dichten van dit kritieke gat kan uitstellen.
Ook is er een workaround beschikbaar. Die dicht het lek echter niet volledig, meldt securityleverancier KSplice. Deze maatregel beschermt alleen tegen de exploitcode die nu rondwaart.
Workaround onvolledig
"Een vrij makkelijke aanpassing aan de exploit stelt die in staat om te blijven werken, dus zelfs als die workaround is toegepast", waarschuwt mede-oprichter en coo Waseem Daher van KSplice. Bovendien schakelt die workaround de ondersteuning voor 32-bit applicaties uit, wat een probleem kan zijn voor servers die niet 'puur' 64-bit zijn.
KSplice biedt een tool waarmee beheerders van Linux-servers kunnen controleren of zo'n backdoor aanwezig is op hun machines. Ontwikkelaar en ceo Jeff Arnold van KSplice blogt dat zijn bedrijf betalende klanten ook een fix biedt voor dit lek waarvoor de server niet opnieuw gestart hoeft te worden. Die fix is voor Red Hat Enterprise Linux, CentOS, Debian, Ubuntu, Parallels Virtuozzo Containers, OpenVZ en CloudLinux.
Bron: Techworld