"Bóng ma" đe dọa máy chủ Linux và Internet

"Bóng ma" (Ghost), thêm một lỗ hổng bảo mật đe dọa sự an toàn của rất nhiều hệ thống Linux trên thế giới cũng như mạng Internet - Ảnh minh họa: ArsTechnica

Lỗ hổng nằm trong thư viện GNU C (glibc), được giới nghiên cứu an ninh mạng đặt tên Ghost (Bóng ma), có sức ảnh hưởng lớn và đe dọa an toàn mạng Internet. Lỗ hổng này có thể so sánh về cấp độ "rất nguy hiểm" tương tự hai lỗ hổng gây "choáng váng" cho cộng đồng an ninh mạng trong năm qua gồm Heartbleed (Trái tim rỉ máu) và Shellshock.

Tuy đã có một bản vá hai năm trước (CVE-2015-0235), nhưng hầu hết phiên bản Linux đang vận hành đều vẫn chưa được bảo vệ an toàn trước "Bóng ma" do những yêu cầu phức tạp khi triển khai bản vá.

Các nhà nghiên cứu bảo mật từ Hãng Qualys cho biết đã có thể viết một mã khai thác thử nghiệm tấn công từ xa vào một máy chủ email Exim. Cuộc tấn công diễn ra "êm thấm" khi mã khai thác vượt qua tất cả các lớp bảo vệ chống lỗ hổng có sẵn trên các hệ thống 32-bit và 64-bit. Họ nhấn mạnh nhờ "Bóng ma", kẻ tấn công có thể vượt qua tất cả lớp phòng vệ chống khai thác lỗi trên hệ thống. 

Qualys chưa công bố lên mạng mã khai thác nhưng dự định đưa mã khai thác vào công cụ Metasploit. Một công cụ khai thác lỗ hổng tự động được bán cho bất kỳ ai bỏ tiền ra mua, và theo đó họ cũng có thể dùng để thử nghiệm tấn công vào các hệ thống mục tiêu hoặc đại trà.

Mức độ nguy hiểm rất cao

Thư viện GNU C (glibc) là thư viện mã dùng chung cho Linux. Nó chứa đựng các hàm chuẩn được viết bằng ngôn ngữ C và C++ để gánh vác các tác vụ chung. 

Theo ArsTechnica, lỗ hổng "Bóng ma" có thể ảnh hưởng đến các chương trình Linux được viết bằng Python, Ruby và hầu hết ngôn ngữ khác do chúng cũng "dựa" vào glibc. 

Để ngăn chặn, các hệ thống Linux cần dùng một bản thay thế glibc hoặc dùng một phiên bản glibc đã chứa bản vá hai năm về trước. 

Bên cạnh Exim, những thành phần hay ứng dụng Linux khác cũng "phơi mình" trước lỗ hổng "Bóng ma", bao gồm những máy chủ MySQL, máy chủ Secure Shell, các ứng dụng biểu mẫu gửi đi và các dạng máy chủ email khác.

Các nhà nghiên cứu tại Qualys đã liệt kê một số ứng dụng họ tin rằng không e ngại "Bóng ma" gồm Apache, Cups, Dovecot, GnuPG, isc-dhcp, lighttpd, mariadb/mysql, nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd, pure-ftpd, rsyslog, samba, sendmail, sysklogd, syslog-ng, tcp_wrappers, vsftpd, và xinetd.

Chuyên gia bảo mật Linux Jon Oberheide, giám đốc kỹ thuật của Duo Security, nhận định "sẽ có rất nhiều tổn thất cho mạng Internet nếu mã khai thác lỗ hổng này lan truyền trên mạng, mà dường như họ (Qualys) có kế hoạch làm như vậy, và nếu những người khác cũng bắt đầu viết công cụ khai thác tấn công những mục tiêu khác".

Cập nhật ngay khi có thể

Các nhà phát triển bản phân phối Linux như Ubuntu, Debian hay Red Hat đã nhanh chóng phát hành bản vá, khuyến cáo những quản trị hệ thống máy chủ cần theo dõi liên tục và cập nhật ngay khi chúng được phát hành. 

Những bản vá đã được phát hành cho Red Hat Enterprise Linux 5 tại đây, Red Hat Enterprise Linux 6, 7 (server, workstation, desktop) tại đây,  và Ubuntu 12.04 tại đây.