El error de Glibc en Linux podría dejar miles de softwares y dispositivos en riesgo

El error de Glibc en Linux podría dejar a millones de usuarios en riesgo por software y dispositivos vulnerables

Los investigadores de seguridad han descubierto una falla potencialmente catastrófica en uno de los bloques fundamentales de Internet que deja a cientos o miles de aplicaciones y dispositivos de hardware vulnerables a ataques que pueden permitir a posibles hackers tomar el control de ellos.

Según los investigadores, la vulnerabilidad existe desde 2008, cuando fue introducida en la Biblioteca C de GNU. La Biblioteca C de GNU es un código de código abierto que se utiliza para alimentar miles de aplicaciones, software y se utiliza en la mayoría de las distribuciones de Linux. El error también deja a los enrutadores domésticos y otros dispositivos de Internet de las Cosas (IoT) vulnerables a ataques.

Ars Technica señala que una función conocida como getaddrinfo() que realiza búsquedas de nombres de dominio contiene un error de desbordamiento de búfer que permite a los atacantes ejecutar código malicioso de forma remota. Puede ser explotado cuando los dispositivos o aplicaciones vulnerables realizan consultas a nombres de dominio o servidores de nombres de dominio controlados por atacantes o cuando están expuestos a ataques de hombre en el medio donde el adversario tiene la capacidad de monitorear y manipular datos que pasan entre un dispositivo vulnerable y el Internet abierto. Todas las versiones de glibc posteriores a 2.9 son vulnerables.

El equipo de desarrollo de glibc ha lanzado una actualización que corrige la vulnerabilidad. Ha solicitado que cualquier software o hardware que realice búsquedas de nombres de dominio instale el parche lo antes posible.

Sin embargo, debido a la naturaleza del error, es extremadamente difícil saber cuán grave es el problema y cuántos dispositivos podrían verse afectados por él.

“Muchas personas están corriendo ahora mismo tratando de averiguar si esto es verdaderamente catastrófico o si hemos esquivado una bala”, dijo el Prof. Alan Woodward, un experto en seguridad de la Universidad de Surrey.

A pesar de haber lanzado un parche, como se mencionó anteriormente, el error de glibc podría dejar a miles de dispositivos nómadas, como enrutadores domésticos baratos, vulnerables. Además, algunas aplicaciones que fueron compiladas con una versión vulnerable de glibc tendrán que ser recompiladas con una versión actualizada de la biblioteca, un proceso que tomará tiempo mientras los usuarios esperan que las soluciones estén disponibles por parte de los fabricantes de hardware y desarrolladores de aplicaciones.

En una publicación de blog que explica el descubrimiento, el equipo de Google detalló cómo una falla en algún código de uso común podría ser explotada de una manera que permite el acceso remoto a un dispositivo, ya sea una computadora, un enrutador de Internet u otro equipo conectado.

El código también puede estar dentro de muchos de los llamados “bloques de construcción” de la web: lenguajes de programación como PHP y Python están afectados, así como sistemas utilizados al iniciar sesión en sitios o acceder al correo electrónico.

Cualquiera que esté en posición de actualizar debería hacerlo lo antes posible. La publicación del blog de Google continuó:

Google ha encontrado algunas mitigaciones que pueden ayudar a prevenir la explotación si no puede parchear inmediatamente su instancia de glibc. La vulnerabilidad se basa en una respuesta UDP o TCP sobredimensionada (más de 2048 bytes), que es seguida por otra respuesta que sobrescribirá la pila. Nuestra mitigación sugerida es limitar el tamaño de la respuesta (es decir, a través de DNSMasq o programas similares) aceptados por el resolvedor DNS local, así como asegurarse de que las consultas DNS se envíen solo a servidores DNS que limiten el tamaño de la respuesta para respuestas UDP con el bit de truncamiento establecido.

Mientras tanto, los mantenedores de Glibc proporcionaron los siguientes detalles adicionales de mitigación:

Factores de mitigación para UDP incluyen:
– Un firewall que descarta paquetes UDP DNS > 512 bytes.
– Un resolvedor local (que descarta respuestas no conformes).
– Evitar consultas duales A y AAAA (evita el error de gestión de búfer) e.g.
No usar AF_UNSPEC.
– No usar options edns0 en /etc/resolv.conf ya que EDNS0 permite
respuestas mayores de 512 bytes y puede llevar a respuestas DNS válidas
que desborden.
– No usar RES_USE_EDNS0 o RES_USE_DNSSEC ya que ambos pueden
llevar a respuestas DNS válidas grandes basadas en EDNS0 que pueden desbordar. Factores de mitigación para TCP incluyen:
– Limitar todas las respuestas a 1024 bytes. Mitigaciones que no funcionan:
– Establecer options single-request no cambia la gestión de búfer
y no previene la explotación.
– Establecer options single-request-reopen no cambia la gestión
de búfer y no previene la explotación.
– Deshabilitar IPv6 no deshabilita las consultas AAAA. El uso de AF_UNSPEC
enable incondicionalmente la consulta dual.
– El uso de sysctl -w net.ipv6.conf.all.disable_ipv6=1 no
protegerá su sistema de la explotación.
– Bloquear IPv6 en un resolvedor local o intermedio no funciona para
prevenir la explotación. La carga útil de explotación puede ser entregada en resultados A o
AAAA, es la consulta paralela la que desencadena el error de gestión de búfer.

La vulnerabilidad se está comparando con Shellshock, un error descubierto en 2014 que afectó a una gran variedad de dispositivos informáticos. Los funcionarios de Red Hat tienen más información aquí.