Een gat in je Linux-systeem. Wat nu?

Linux staat bekend om zijn hoge mate van veiligheid. Tegelijkertijd is en blijft het software en gevoelig voor kwetsbaarheden. Dat bleek onlangs, toen bekend werd dat al sinds 2009 een gevaarlijk lek in Linux zit. In onze nieuwe blog vertellen we er meer over!

Het besturingssysteem Linux staat bekend als uitermate veilig, maar dat wil niet zeggen dat er geen fouten in kunnen zitten. Sterker nog: op 25 januari jongsleden werd bekend dat in een bepaald onderdeel (pkexec) van alle major Linux-installaties een lek zit, dat daar al sinds 2009 zit. Een droom voor hackers, want elke gebruikers van het Linux-systeem kan de hoogste privileges krijgen en dat ook nog eens onafhankelijk van de gebruikte hardware. Absolute administratierechten dus, met alle mogelijke gevolgen van dien. De fout draait op miljarden computers wereldwijd.

Wat betekent dat?

In de praktijk van het back-uppen en archiveren van data heeft dit natuurlijk ook de nodige gevolgen. Als Linux onderdeel van je back-up of archief infrastructuur uitmaakt is dat kritisch. Bijvoorbeeld bij zogenaamde immutable back-ups zoals die onder andere door Veeam aangeboden worden. Immutable back-up betekent dat je in je software aan kunt geven of je een back-up onveranderbaar wil maken. Deze back-up gaat dan allereerst door een Linux-doos, die een immutable flag zet. Vervolgens worden deze data in de storage gezet. Het punt is nu dat je als root-user deze immutable flag simpel kan verwijderen. En dan kun je dus deze back-up wissen of veranderen. Voor S3 repositories die op Linux-based storage staan geldt betreffende de S3 immutability trouwens hetzelfde.

Wat kun je doen?

Om dit te voorkomen kun je een aantal dingen doen. Zorg er bijvoorbeeld voor iemand niet op deze Linux-box kan als hij of zij niet fysiek daar voorzit. Dat is in de praktijk echter niet altijd te realiseren. Een andere oplossing is om te zorgen voor een air-gapped back-up op hardware basis, zoals de Silent Bricks. Maar pas op! Dit is echt iets anders dan de software air-gap die storage-vendors vaak aanbieden, ook Linux-gebaseerd. Deze software zorgt ervoor dat een verbinding met de storage alleen op bepaalde momenten gemaakt kan worden. Maar ook deze storage is Linux-gebaseerd en een gebruiker die daar in kan, kan ook rootuser worden. Deze rootuser kan dan ook de virtuele air-gap verwijderen.

Probleem opgelost? Nee!

Voor zover bekend is het lek nog niet gedicht. Maar het is niet openbaar hoe je het lek kunt misbruiken. Het is wel zaak om een patch direct te installeren zodra die beschikbaar is. Bedenk in de tussentijd dat een softwarematige air-gap geen échte air-gap is. Zorg dus altijd voor een air-gap op hardwarebasis! Meer weten? Informeer eens wat COMEX kan doen!