Erro Glibc no Linux pode deixar milhares de softwares e dispositivos em risco

O erro Glibc no Linux pode deixar milhões de usuários em risco devido a softwares e dispositivos vulneráveis

Pesquisadores de segurança descobriram uma falha potencialmente catastrófica em um dos blocos fundamentais da Internet que deixa centenas ou milhares de aplicativos e dispositivos de hardware vulneráveis a ataques que podem permitir que hackers em potencial assumam o controle sobre eles.

De acordo com os pesquisadores, a vulnerabilidade existe desde 2008, quando foi introduzida na Biblioteca C do GNU. A Biblioteca C do GNU é um código de código aberto que é usado para alimentar milhares de aplicativos, softwares e é utilizado na maioria das distribuições Linux. O erro também deixa roteadores domésticos e outros dispositivos da Internet das Coisas (IoT) vulneráveis a ataques.

A Ars Technica observa que uma função conhecida como getaddrinfo() que realiza buscas de nomes de domínio contém um erro de estouro de buffer que permite que atacantes executem código malicioso remotamente. Pode ser explorado quando dispositivos ou aplicativos vulneráveis fazem consultas a nomes de domínio ou servidores de nomes de domínio controlados por atacantes ou quando estão expostos a ataques man-in-the-middle, onde o adversário tem a capacidade de monitorar e manipular dados que passam entre um dispositivo vulnerável e a Internet aberta. Todas as versões do glibc após 2.9 são vulneráveis.

A equipe de desenvolvimento do glibc lançou uma atualização que corrige a vulnerabilidade. Ela solicitou que qualquer software ou hardware que realize buscas de nomes de domínio instale o patch o mais rápido possível.

No entanto, devido à natureza do erro, é extremamente difícil saber quão sério é o problema e quantos dispositivos podem ser afetados por ele.

“Muitas pessoas estão correndo agora tentando descobrir se isso é realmente catastrófico ou se conseguimos desviar de uma bala”, disse o Prof. Alan Woodward, um especialista em segurança da Universidade de Surrey.

Apesar de ter lançado um patch, como mencionado acima, o erro do glibc pode deixar milhares de dispositivos nômades, como roteadores domésticos baratos, vulneráveis. Além disso, alguns aplicativos que foram compilados com uma versão vulnerável do glibc terão que ser recompilados com uma versão atualizada da biblioteca, um processo que levará tempo enquanto os usuários aguardam que correções se tornem disponíveis pelos fabricantes de hardware e desenvolvedores de aplicativos.

Em uma postagem no blog explicando a descoberta, a equipe do Google detalhou como uma falha em algum código comumente usado poderia ser explorada de uma maneira que permite acesso remoto a dispositivos – seja um computador, roteador de internet ou outro equipamento conectado.

O código também pode estar dentro de muitos dos chamados “blocos de construção” da web – linguagens de programação como PHP e Python são afetadas, assim como sistemas usados ao fazer login em sites ou acessar e-mails.

Qualquer um que esteja em posição de atualizar deve fazê-lo o mais rápido possível. A postagem no blog do Google continuou:

O Google encontrou algumas mitig ações que podem ajudar a prevenir a exploração se você não puder imediatamente corrigir sua instância do glibc. A vulnerabilidade depende de uma resposta UDP ou TCP excessiva (2048+ bytes), que é seguida por outra resposta que irá sobrescrever a pilha. Nossa mitigação sugerida é limitar o tamanho da resposta (ou seja, via DNSMasq ou programas semelhantes) aceitos pelo resolvedor DNS local, bem como garantir que as consultas DNS sejam enviadas apenas para servidores DNS que limitam o tamanho da resposta para respostas UDP com o bit de truncamento definido.

Enquanto isso, os mantenedores do Glibc forneceram os seguintes detalhes adicionais de mitigação:

Fatores de mitigação para UDP incluem:
– Um firewall que descarta pacotes UDP DNS > 512 bytes.
– Um resolvedor local (que descarta respostas não conformes).
– Evitar consultas duplas A e AAAA (evita erro de gerenciamento de buffer) e.g.
Não usar AF_UNSPEC.
– Não usar options edns0 em /etc/resolv.conf, uma vez que o EDNS0 permite
respostas maiores que 512 bytes e pode levar a respostas DNS válidas
que transbordam.
– Não usar RES_USE_EDNS0 ou RES_USE_DNSSEC, pois ambos podem
levar a respostas DNS válidas grandes baseadas em EDNS0 que podem transbordar. Fatores de mitigação para TCP incluem:
– Limitar todas as respostas a 1024 bytes. Mitigações que não funcionam:
– Definir options single-request não altera o gerenciamento de buffer
e não previne a exploração.
– Definir options single-request-reopen não altera o gerenciamento de buffer
e não previne a exploração.
– Desabilitar IPv6 não desabilita consultas AAAA. O uso de AF_UNSPEC
enable incondicionalmente a consulta dupla.
– O uso de sysctl -w net.ipv6.conf.all.disable_ipv6=1 não
protegerá seu sistema da exploração.
– Bloquear IPv6 em um resolvedor local ou intermediário não funciona para
prevenir a exploração. O payload da exploração pode ser entregue em A ou
resultados AAAA, é a consulta paralela que aciona a falha de
gestão de buffer.

A vulnerabilidade está sendo comparada ao Shellshock, um erro descoberto em 2014 que afetou uma ampla gama de dispositivos computacionais. Funcionários da Red Hat têm mais informações aqui.