Vulnerabilidad del kernel de Linux en root local (CVE-2016-8655) solucionada

Recientemente, un exploit del kernel de Linux que afectaba al root, o administrador, fue encontrado y reportado. Una vez más nuestro equipo dedicado al kernel de Linux actuó con rapidez y fue capaz de aplicar el parche oficial que corregía la vulnerabilidad en menos de 24 horas. Todos nuestros servidores compartidos y en la nube están ahora protegidos, y otra vez se ha conseguido sin reinicios ni tiempo de inactividad en los servidores. Lee a continuación para tener más información sobre el problema de seguridad y como lo hemos parcheado.

¿Cuál es exactamente el problema de seguridad?

El agujero de seguridad permite a los atacantes acceder a los servidores con permisos de root o administrador aprovechándose de una condición de carrera en la parte del kernel “net/packet/af_packet.c”. Si se realiza con éxito un ataque, este proporcionará el atacante un shell en modo root y acceso completo al servidor. Para más información técnica puedes consultar esta página. Además, el parche oficial que utilizamos para actualizar nuestros kernels está disponible aquí. Philip Pettersson, el ingeniero que encontró el problema, dijo que lanzará un PoC, o prueba de concepto, pero que esperará un poco más para que todo el mundo pueda parchear sus sistemas.

¿Se ha extendido mucho el problema?

El error se introdujo el 19 de Agosto de 2011, lo que significa que muchas de las principales distribuciones de Linux están afectadas. Todos los kernels basados en el código del kernel oficial antes de la aparición del parche oficial son probablemente muy vulnerables.

¿Cuál es la solución estándar al problema?

La forma más sencilla de proteger tus ordenadores que funcionan bajo Linux es actualizar tu distribución de Linux a la versión más reciente. Por desgracia, la mayoría de los creadores de distribuciones no han publicado nuevas versiones oficiales de sus kernels, aún. Si no compilas tu propio kernel tendrás que esperar a que el PoC oficial sea publicado para comprobar si tus máquinas con Linux son vulnerables. También hay que vigilar los paquetes lanzados por tus proveedores y actualizar tan pronto como se libere un nuevo kernel.

¿Qué hizo SiteGround para resolver este problema?

Como hemos mencionado en nuestra entrada anterior acerca de la vulnerabilidad Dirty COW, podemos compilar nuestro propio kernel a medida y así tenemos más control sobre el parcheo del kernel y el proceso de distribución. No utilizamos los kernels proporcionados por los proveedores oficiales y por eso logramos actuar de manera más rápida y parchear nuestros servidores.

Conseguimos el parche oficial y de nuevo utilizamos la herramienta kpatch para compilar módulos para nuestros kernels y para parchearlos sin necesidad de reiniciar las máquinas. De esta forma, se evitó un tiempo de inactividad que es obligatorio sufrir si el servidor se reinicia para actualizar su kernel. No hace falta decir que hemos probado el parche en distintos servidores y configuraciones para asegurarnos de que toda nuestra flota estará protegida y que no se producirán efectos secundarios.

En este momento todos los servidores compartidos y en la nube de SiteGround están parcheados. Todavía estamos revisando nuestros servidores dedicados ya que algunos de ellos no se han visto afectados de ningún modo por este problema de seguridad. Los servidores dedicados también serán parcheados tan pronto como sea posible.