Pepijat GHOST ialah kelemahan kritikal dalam Perpustakaan GNU C (glibc), komponen utama banyak sistem pengendalian berasaskan Linux. Ia ditemui pada awal 2015 dan cepat mendapat perhatian kerana potensinya menyebabkan pelaksanaan kod jauh pada sistem yang terjejas. Pepijat ini mendapat namanya daripada eksploitasi fungsi GetHOST (oleh itu GHOST), yang didapati mempunyai kecacatan limpahan penimbal.
Sejarah asal usul pepijat GHOST dan sebutan pertama mengenainya
Pepijat GHOST pertama kali dikenal pasti pada 27 Januari 2015, oleh penyelidik dari firma keselamatan Qualys. Pasukan Qualys secara bertanggungjawab mendedahkan kelemahan kepada penyelenggara glibc dan Pusat Integrasi Keselamatan dan Komunikasi Siber Kebangsaan (NCCIC) sebelum mengumumkannya secara terbuka pada 27 Januari 2015. Tindakan segera ini membolehkan pentadbir sistem dan pembangun dimaklumkan dan berusaha untuk mengurangkan isu tersebut.
Maklumat terperinci tentang pepijat GHOST. Memperluas topik pepijat GHOST
Pepijat GHOST adalah terutamanya kelemahan limpahan penimbal yang wujud dalam fungsi __nss_hostname_digits_dots() pustaka glibc. Apabila program membuat permintaan DNS, fungsi ini bertanggungjawab untuk mengendalikan proses resolusi nama hos. Walau bagaimanapun, disebabkan pengesahan input yang tidak betul, penyerang jauh boleh membekalkan nama hos yang dibuat khas, yang membawa kepada limpahan penimbal. Limpahan ini boleh mengakibatkan pelaksanaan kod sewenang-wenangnya, membolehkan penyerang mendapat akses tanpa kebenaran kepada sistem yang terjejas.
Kerentanan itu amat berbahaya kerana ia menjejaskan pelbagai sistem Linux, termasuk yang menjalankan pelayan web, pelayan e-mel dan perkhidmatan kritikal lain. Memandangkan glibc ialah perpustakaan penting yang digunakan oleh pelbagai aplikasi, potensi kesan pepijat ini adalah besar.
Struktur dalaman pepijat GHOST. Cara pepijat GHOST berfungsi
Untuk memahami struktur dalaman pepijat GHOST, adalah penting untuk menyelidiki butiran teknikal. Apabila program memanggil fungsi __nss_hostname_digits_dots() yang terdedah untuk menyelesaikan nama hos, fungsi tersebut secara dalaman memanggil fungsi gethostbyname*(). Fungsi ini adalah sebahagian daripada keluarga getaddrinfo(), yang digunakan untuk resolusi alamat nama hos kepada IP.
Kerentanan terletak pada cara fungsi memproses nilai berangka dalam nama hos. Jika nama hos mengandungi nilai berangka diikuti dengan titik, fungsi tersebut tersilap mentafsirkannya sebagai alamat IPv4. Ini membawa kepada limpahan penimbal apabila fungsi cuba menyimpan alamat IPv4 ke dalam penimbal yang tidak cukup besar untuk menampungnya.
Akibatnya, penyerang boleh mencipta nama hos yang berniat jahat, menjadikan fungsi yang terdedah menimpa lokasi memori bersebelahan, yang berpotensi membenarkan mereka melaksanakan kod sewenang-wenangnya atau ranap program.
Analisis ciri utama pepijat GHOST
Ciri utama pepijat GHOST termasuk:
-
Kerentanan Limpahan Penampan: Isu teras pepijat GHOST terletak pada limpahan penimbal dalam fungsi __nss_hostname_digits_dots(), yang membolehkan pelaksanaan kod tanpa kebenaran.
-
Pelaksanaan Kod Jauh: Pepijat boleh dieksploitasi dari jauh, menjadikannya ancaman keselamatan yang teruk kerana penyerang boleh mengawal sistem yang terjejas dari jauh.
-
Pelbagai Sistem Terjejas: Kerentanan memberi kesan kepada pelbagai pengedaran dan aplikasi Linux yang menggunakan perpustakaan glibc yang terdedah.
-
Perkhidmatan Kritikal Berisiko: Banyak pelayan yang menjalankan perkhidmatan penting terdedah, menimbulkan risiko besar kepada infrastruktur dalam talian.
Jenis pepijat HANTU
Pepijat GHOST tidak mempunyai variasi yang berbeza; namun, kesannya boleh berbeza-beza bergantung pada sistem yang terjejas dan objektif penyerang. Secara amnya, hanya terdapat satu versi pepijat GHOST, yang dicirikan oleh limpahan penimbal dalam fungsi __nss_hostname_digits_dots().
Pepijat GHOST telah dieksploitasi terutamanya melalui manipulasi permintaan DNS, memanfaatkan limpahan penimbal fungsi __nss_hostname_digits_dots() . Setelah penyerang mengenal pasti sistem yang terdedah, mereka boleh mencipta nama hos yang berniat jahat dan menggunakannya untuk mencetuskan kelemahan.
Menyelesaikan pepijat GHOST memerlukan kemas kini segera daripada vendor sistem pengendalian dan pembangun aplikasi. Mereka perlu memasukkan versi glibc yang ditambal untuk membetulkan kelemahan. Pentadbir sistem juga memainkan peranan penting dengan mengemas kini sistem mereka dan melaksanakan langkah keselamatan yang betul.
Ciri-ciri utama dan perbandingan lain dengan istilah yang serupa dalam bentuk jadual dan senarai
| Ciri | Pepijat HANTU | Heartbleed | Shellshock |
|---|---|---|---|
| Jenis Keterdedahan | Limpahan Penampan | Kebocoran Maklumat (Memori Terlebih Baca) | Suntikan Perintah |
| Tahun Penemuan | 2015 | 2014 | 2014 |
| Perisian Terjejas | perpustakaan glibc | OpenSSL | Bash Shell |
| Skop Kesan | Sistem berasaskan Linux | Pelayan Web, VPN, peranti IoT | Sistem berasaskan Unix |
| Kerumitan Eksploitasi | Agak Kompleks | Agak Mudah | Agak Mudah |
Sejak penemuannya, pepijat GHOST telah menjadi pengajaran kepada pembangun dan pentadbir sistem untuk mengutamakan langkah keselamatan dan mengemas kini perisian segera. Insiden itu telah membawa kepada peningkatan penelitian terhadap perpustakaan teras dan meningkatkan usaha untuk meningkatkan keselamatan kod.
Melihat ke masa hadapan, kami boleh menjangkakan tumpuan yang lebih besar pada amalan keselamatan yang teguh, audit kod biasa dan penilaian kerentanan. Landskap keselamatan siber akan terus berkembang, dan organisasi perlu terus berwaspada dan proaktif untuk mempertahankan diri daripada ancaman yang muncul.
Cara pelayan proksi boleh digunakan atau dikaitkan dengan pepijat GHOST
Pelayan proksi, seperti yang disediakan oleh OneProxy, boleh memainkan peranan dalam mengurangkan kesan pepijat GHOST. Dengan menghalakan trafik web melalui pelayan proksi, sistem pelanggan boleh dilindungi daripada pendedahan langsung kepada perpustakaan glibc yang terdedah. Proksi bertindak sebagai perantara antara pelanggan dan pelayan, menyediakan lapisan keselamatan tambahan dengan menapis permintaan berniat jahat.
Walau bagaimanapun, adalah penting untuk diingat bahawa proksi bukanlah penyelesaian langsung untuk membetulkan kelemahan itu sendiri. Ia harus digunakan bersama-sama dengan langkah keselamatan lain dan kemas kini perisian biasa untuk memastikan perlindungan menyeluruh terhadap potensi ancaman seperti pepijat GHOST.
Pautan berkaitan
Untuk mendapatkan maklumat lanjut tentang pepijat GHOST dan kesannya, anda boleh merujuk kepada sumber berikut:
- Nasihat Keselamatan Qualys: https://www.qualys.com/2015/01/27/cve-2015-0235-ghost/
- Kemasukan Pangkalan Data Kerentanan Kebangsaan (NVD): https://nvd.nist.gov/vuln/detail/CVE-2015-0235
- Blog Keselamatan Linux: https://www.linuxsecurity.com/features/features/ghost-cve-2015-0235-the-linux-implementation-of-the-secure-hypertext-transfer-protocol-7252
Ingat bahawa sentiasa dimaklumkan dan mengemas kini sistem anda dengan segera adalah langkah penting dalam mengekalkan kehadiran dalam talian yang selamat dalam menghadapi kemungkinan kelemahan seperti pepijat GHOST.
