Vào ngày 27/1/2015 các chuyên gia bảo mật của Qualys đã phát hiện ra một lỗ hổng nguy hiểm mới được công bố với tên “Ghost”. Chưa đầy 48 tiếng sau khi công bố lỗ hổng bảo mật Ghost có chứa trong thư viện GNU C (glibc), các nhà nghiên cứu đã phát hiện các ứng dụng PHP, bao gồm cả hệ thống quản lý nội dung Wordpress có thể là mục tiêu tấn công cuối cùng của tin tặc.
Ghost là một lỗ hổng bảo mật trong glibc cho phép hacker có thể sử dụng các ứng dụng chạy mã thực thi lệnh từ xa chiếm quyền điều khiển máy chủ Linux. Lỗ hổng này là một lỗi liên quan đến tràn bộ đệm heap-based và ảnh hưởng đến tất cả hệ thống Linux, có mặt trong các mã glibc từ năm 2000.
Các lỗi tràn bộ đệm của glibc được tìm thấy trong hàm __nss_hostname_digits_dots(), mà hàm cụ thể được dùng dưới cái tên _gethostbyname. Ứng dụng PHP cũng như Wordpress sử dụng các _gethostbyname nên dễ bị tổn thương diện rộng cho đến khi các nhà phân phối Linux tung ra các bản vá lỗi.
Chuyên viên Sucuri Marc-Alexandre Montpas đã viết trong một nghiên cứu công bố vào hôm 28/1: “Đây là một lỗ hổng bảo mật ảnh hưởng khá lớn đến Wordpress: nó dùng hàm mang tên wp_http_validate_url() để xác nhận URL của mỗi bài viết pingback để có thể sử dụng hàm gethostbyname(). Vì vậy, một kẻ tấn công có thể tận dụng vectơ này để chèn một URL độc hại có thể gây ra lỗi tràn bộ đệm và nắm quyền điều khiển hệ thống.”
Glibc là thư viện mã phổ biến nhất trên Linux, chứa nhiều hàm tiêu chuẩn được các chương trình viết bằng ngôn ngữ C và C++ sử dụng. Lỗ hổng cũng ảnh hưởng đến các chương trình Linux được viết bằng ngôn ngữ Python, Ruby và hầu hết các ngôn ngữ khác bởi các chương trình này đều hoạt động dựa trên glibc. Điều này dẫn đến việc hầu hết các hệ thống Linux bị coi là có lỗ hổng, trừ khi chạy hàm thay thế glibc hoặc sử dụng phiên bản glibc chứa bản cập nhật từ 2 năm trước.
Cho đến nay, lỗi này được cho là được thử nghiệm để tấn công vào hệ thống Đại lý trung chuyển thư Exim (MTA). Các chuyên gia đều cho rằng việc khắc phục lỗ hổng này có nhiều khó khăn vì nó yêu cầu khởi động lại toàn bộ hệ thống. Việc khai thác phụ thuộc vào khả năng vận dụng một chương trình dò tìm DNS từ máy chủ của những kẻ tấn công. Việc này đã được tiến hành theo phương thức đặc biệt, nếu kẻ tấn công từ xa gọi thành công bất kỳ hàm nào trong số này, kẻ đó có thể thực thi mã tùy biến với quyền của user đang dùng ứng dụng.
Ngoài ra, các chuyên gia cũng cho biết thêm, đây là một lỗ hổng quan trọng và cần được quan tâm sửa chữa. Cần phải tiến hành cập nhật ngay, nếu hệ thống sử dụng một máy chủ chuyên dụng hoặc VPN chạy Linux. Nhiều bản phân phối của Linux phổ biến đang được nhiều máy chủ sử dụng đang tồn tại lỗ hổng này như: RHEL (Red Hat Enterprise Linux) phiên bản 5.x, 6.x và 7.x, CentOS Linux phiên bản 5.x, 6.x 7.x, Ubuntu Linux phiên bản 10.04, 12.04 LTS, Debian Linux phiên bản 7.x, Linux Mint phiên bản 13.0, Fedora Linux phiên bản 19 hoặc cũ hơn, SUSE Linux Enterprise 11 hoặc cũ hơn (tương tự với OpenSuse Linux), Arch Linux glibc version phiên bản 2.18-1 hoặc cũ hơn….
Một số cách thức cập nhật bản vá cho thư viện glibc được đính kèm trong bài báo này.
