TL; DR. Nan atik sa a, nou eksplore rapid redi ki travay soti nan bwat la sou senk distribisyon Linux popilè. Pou chak, nou te pran konfigirasyon nwayo default, chaje tout pakè yo, epi analize rapid sekirite yo nan binè yo tache. Distribisyon yo konsidere yo se OpenSUSE 12.4, Debian 9, CentOS, RHEL 6.10 ak 7, osi byen ke Ubuntu 14.04, 12.04 ak 18.04 LTS.
Rezilta yo konfime ke menm konplo debaz tankou anpile kanari ak kòd pozisyon endepandan yo poko adopte pa tout moun. Sitiyasyon an vin pi mal pou konpilatè yo lè li rive pwoteje kont frajilite tankou stack clash, ki te vin nan dokiman Pwen Enpòtan an janvye apre piblikasyon. . Men, se pa tout bagay konsa san espwa. Yon kantite siyifikatif binè aplike metòd pwoteksyon debaz, ak kantite yo ap grandi de vèsyon an vèsyon.
Revizyon an te montre ke pi gwo kantite metòd pwoteksyon aplike nan Ubuntu 18.04 nan nivo eksplwatasyon ak aplikasyon, ki te swiv pa Debian 9. Nan lòt men an, OpenSUSE 12.4, CentOS 7 ak RHEL 7 aplike tou plan pwoteksyon debaz yo, ak pwoteksyon kolizyon pile. yo itilize menm plis lajman ak yon seri pakè default ki pi dans.
Entwodiksyon
Li difisil pou asire lojisyèl kalite siperyè. Malgre gwo kantite zouti avanse pou analiz kòd estatik ak analiz dinamik ègzekutabl, ansanm ak pwogrè siyifikatif nan devlopman konpilatè ak langaj pwogramasyon, lojisyèl modèn toujou soufri de frajilite ki toujou ap eksplwate pa atakè yo. Sitiyasyon an vin pi mal nan ekosistèm ki gen ladan kòd eritaj. Nan ka sa yo, nou pa sèlman fè fas ak pwoblèm ki p'ap janm fini an nan jwenn posib erè eksplwatasyon, men nou tou limite pa kad strik konpatibilite bak, ki souvan mande pou nou konsève limite, oswa menm vin pi mal, vilnerab oswa bug.
Sa a se kote metòd pou pwoteje oswa redi pwogram antre nan jwèt. Nou pa ka anpeche kèk kalite erè, men nou ka fè lavi atakè a pi difisil ak pasyèlman rezoud pwoblèm nan pa anpeche oswa anpeche. eksplwatasyon erè sa yo. Pwoteksyon sa yo itilize nan tout sistèm opere modèn, men metòd yo diferan anpil nan konpleksite, efikasite ak pèfòmans: soti nan pile kanari ak nan pwoteksyon konplè и . Nan atik sa a, nou pral gade ki metòd pwoteksyon yo itilize nan distribisyon Linux ki pi popilè nan konfigirasyon default la, epi tou egzamine pwopriyete binè yo ki distribye atravè sistèm jesyon pake chak distribisyon.
CVE ak sekirite
Nou tout te wè atik ki gen tit tankou "Aplikasyon ki pi vilnerab pou ane a" oswa "Sistèm operasyon ki pi vilnerab yo." Anjeneral yo bay estatistik sou kantite total dosye sou frajilite tankou , jwenn nan soti nan ak lòt sous. Apre sa, aplikasyon sa yo oswa OS yo klase dapre kantite CVE yo. Malerezman, pandan ke CVE yo trè itil pou swiv pwoblèm ak enfòme fournisseurs ak itilizatè yo, yo di ti kras sou sekirite aktyèl la nan lojisyèl an.
Kòm yon egzanp, konsidere kantite total CVE nan kat ane ki sot pase yo pou nwayo Linux ak senk distribisyon sèvè ki pi popilè yo, sètadi Ubuntu, Debian, Red Hat Enterprise Linux ak OpenSUSE.
Fig. Xnumx
Kisa graf sa a di nou? Èske yon pi gwo kantite CVE vle di ke yon distribisyon pi vilnerab pase yon lòt? San repons. Pou egzanp, nan atik sa a ou pral wè ke Debian gen mekanis sekirite pi fò konpare ak, di, OpenSUSE oswa RedHat Linux, e poutan Debian gen plis CVE. Sepandan, yo pa nesesèman vle di sekirite febli: menm prezans yon CVE pa endike si yon vilnerabilite se. eksplwate. Nòt severite yo bay yon endikasyon sou ki jan pwobableman eksplwatasyon yon vilnerabilite, men finalman eksplwatasyon depann anpil de pwoteksyon ki prezan nan sistèm ki afekte yo ak resous ak kapasite atakè yo. Anplis, absans rapò CVE pa di anyen sou lòt moun ki pa anrejistre oswa enkoni vilnerabilite. Diferans nan CVE ka akòz faktè lòt pase kalite lojisyèl, ki gen ladan resous yo atribye ba tès oswa gwosè baz itilizatè a. Nan egzanp nou an, pi gwo kantite CVE Debian a ka senpleman endike ke Debian voye plis pakè lojisyèl.
Natirèlman, sistèm CVE a bay enfòmasyon itil ki pèmèt ou kreye pwoteksyon apwopriye. Plis nou konprann rezon ki fè echèk pwogram yo, se pi fasil pou idantifye metòd posib pou eksplwatasyon epi devlope mekanis apwopriye. deteksyon ak repons. Nan Fig. 2 montre kategori frajilite yo pou tout distribisyon pandan kat dènye ane yo (). Li imedyatman klè ke pifò CVE yo tonbe nan kategori sa yo: refi sèvis (DoS), ekzekisyon kòd, debòde, koripsyon memwa, flit enfòmasyon (eksfiltrasyon) ak eskalasyon privilèj. Malgre ke anpil CVE yo konte plizyè fwa nan kategori diferan, an jeneral menm pwoblèm yo pèsiste ane apre ane. Nan pwochen pati atik la, nou pral evalye itilizasyon divès kalite pwoteksyon pou anpeche eksplwatasyon frajilite sa yo.
Fig. Xnumx
travay
Nan atik sa a nou gen entansyon reponn kesyon sa yo:
- Ki sekirite diferan distribisyon Linux? Ki mekanis pwoteksyon ki egziste nan aplikasyon pou nwayo ak espas itilizatè yo?
- Ki jan adopsyon an nan mekanis sekirite chanje sou tan atravè distribisyon?
- Ki depandans mwayèn pakè ak bibliyotèk pou chak distribisyon?
- Ki pwoteksyon yo aplike pou chak binè?
Seleksyon distribisyon
Li sanble ke li difisil pou jwenn estatistik egzat sou enstalasyon distribisyon, paske nan pifò ka yo kantite downloads pa endike kantite enstalasyon aktyèl yo. Sepandan, variants Unix yo fòme majorite sistèm sèvè (sou sèvè entènèt 69,2%, pa W3techs ak lòt sous), ak pataje yo toujou ap grandi. Kidonk, pou rechèch nou an nou konsantre sou distribisyon ki disponib soti nan bwat la sou platfòm la . An patikilye, nou chwazi OS sa a:
Distribisyon/vèsyon
Nwayo a
Bati
OpenSUSE 12.4
4.12.14-95.3-default
#1 SMP Merdi 5 Desanm 06:00:48 UTC 2018 (63a8d29)
Debian 9 (detire)
4.9.0-8-amd64
#1 SMP Debian 4.9.130-2 (2018-10-27)
Santos 6.10
2.6.32-754.10.1.el6.x86_64
#1 SMP Mar 15 janvye 17:07:28 UTC 2019
Santos 7
3.10.0-957.5.1.el7.x86_64
#1 SMP Ven 1 fevriye 14:54:57 UTC 2019
Red Hat Enterprise Linux Server 6.10 (Santiago)
2.6.32-754.9.1.el6.x86_64
#1 SMP Wed Nov 21 15:08:21 EST 2018
Red Hat Enterprise Linux Server 7.6 (Maipo)
3.10.0-957.1.3.el7.x86_64
#1 SMP Thu Nov 15 17:36:42 UTC 2018
Ubuntu 14.04 (Trusty Tahr)
4.4.0-140-jenerik
#166~14.04.1-Ubuntu SMP samdi 17 nov 01:52:43 UTC 20...
Ubuntu 16.04 (Xenial Xerus)
4.15.0–1026-gcp
#27 ~ 16.04.1-Ubuntu SMP ven 7 desanm 09:59:47 UTC 2018
Ubuntu 18.04 (Bionic Beaver)
4.15.0–1026-gcp
#27-Ubuntu SMP Thu Dec 6 18:27:01 UTC 2018
Table 1
Analiz
Ann etidye konfigirasyon nwayo default la, ansanm ak pwopriyete pakè ki disponib atravè manadjè pake chak distribisyon ki soti nan bwat la. Kidonk, nou konsidere sèlman pakè ki soti nan miwa default chak distribisyon, inyore pakè ki soti nan repozitwa enstab (tankou miwa Debian 'tès') ak pakè twazyèm pati (tankou pakè Nvidia ki soti nan miwa estanda). Anplis de sa, nou pa konsidere konpilasyon nwayo koutim oswa konfigirasyon sekirite fè tèt di.
Analiz Konfigirasyon Kernel
Nou aplike yon script analiz ki baze sou . Ann gade paramèt pwoteksyon ki pa nan bwat distribisyon yo nonmen yo epi konpare yo ak lis ki soti nan (KSPP). Pou chak opsyon konfigirasyon, Tablo 2 dekri paramèt vle a: kare a se pou distribisyon ki konfòme ak rekòmandasyon KSSP yo (gade sa ki annapre yo pou yon eksplikasyon sou tèm). ; Nan atik nan lavni nou pral eksplike konbyen nan metòd sekirite sa yo te vini ak ki jan yo Hack yon sistèm nan absans yo).
An jeneral, nouvo nwayo yo gen anviwònman pi sevè soti nan bwat la. Pou egzanp, CentOS 6.10 ak RHEL 6.10 sou nwayo a 2.6.32 manke pi fò nan karakteristik kritik yo aplike nan nouvo nwayo tankou , otorizasyon strik RWX, randomization adrès oswa pwoteksyon copy2usr. Li ta dwe remake ke anpil nan opsyon yo konfigirasyon nan tablo a pa disponib nan vèsyon ki pi gran nan nwayo a epi yo pa aplikab an reyalite - sa a toujou endike nan tablo a kòm yon mank de pwoteksyon apwopriye. Menm jan an tou, si yon opsyon konfigirasyon pa prezan nan yon vèsyon bay, epi sekirite mande pou opsyon sa a enfim, sa a konsidere kòm yon konfigirasyon rezonab.
Yon lòt pwen yo konsidere lè entèprete rezilta yo: kèk konfigirasyon nwayo ki ogmante sifas atak la ka itilize tou pou sekirite. Egzanp sa yo enkli uprobes ak kprobes, modil nwayo, ak BPF/eBPF. Rekòmandasyon nou an se sèvi ak mekanis ki anwo yo pou bay yon pwoteksyon reyèl, paske yo pa trivial pou itilize epi eksplwatasyon yo sipoze ke aktè move yo te deja etabli yon pye nan sistèm nan. Men, si opsyon sa yo aktive, administratè sistèm lan dwe siveye aktivman pou abi.
Gade pi lwen nan antre yo nan Tablo 2, nou wè ke nwayo modèn bay plizyè opsyon pou pwoteje kont eksplwatasyon nan frajilite tankou flit enfòmasyon ak pile / pil debòde. Sepandan, nou remake ke menm distribisyon popilè ki pi resan yo poko aplike pwoteksyon pi konplèks (pa egzanp, ak plak ) oswa pwoteksyon modèn kont atak reitilizasyon kòd (egzanp. ). Pou vin pi mal, menm defans ki pi avanse sa yo pa pwoteje kont tout seri atak yo. Se poutèt sa, li enpòtan pou administratè sistèm yo konplete konfigirasyon entelijan ak solisyon ki ofri deteksyon ak prevansyon eksplwatasyon ègzekutabl.
Analiz aplikasyon an
Se pa etonan, distribisyon diferan gen diferan karakteristik pake, opsyon konpilasyon, depandans bibliyotèk, elatriye. Diferans egziste menm pou distribisyon ak pake ki gen yon ti kantite depandans (pa egzanp, coreutils sou Ubuntu oswa Debian). Pou evalye diferans yo, nou te telechaje tout pakè ki disponib yo, nou te ekstrè sa yo, epi nou te analize binè yo ak depandans yo. Pou chak pake, nou kenbe tras nan lòt pakè li depann sou yo, epi pou chak binè, nou swiv depandans li yo. Nan seksyon sa a nou rezime yon ti tan konklizyon yo.
Distribisyon
An total, nou te telechaje 361 pakè pou tout distribisyon, nou retire pakè sèlman nan miwa default yo. Nou inyore pakè san yo pa ègzèkutabl ELF, tankou sous, polis, elatriye. Apre filtraj, 556 pakè te rete, ki gen yon total de 129 binè. Distribisyon pakè ak dosye atravè distribisyon yo montre nan Fig. 569.
Fig. Xnumx
Ou ka remake ke distribisyon an pi modèn, plis pakè ak binè li genyen, sa ki lojik. Sepandan, pakè Ubuntu ak Debian gen ladan anpil plis binè (tou de ègzèkutabl ak modil dinamik ak bibliyotèk) pase CentOS, SUSE ak RHEL, ki kapab afekte sifas atak Ubuntu ak Debian (li ta dwe remake ke nimewo yo reflete tout binè nan tout vèsyon yo). pake, se sa ki, kèk dosye yo analize plizyè fwa). Sa a se espesyalman enpòtan lè ou konsidere depandans ant pakè yo. Kidonk, yon vilnerabilite nan yon sèl binè pake ka afekte anpil pati nan ekosistèm nan, menm jan yon bibliyotèk vilnerab ka afekte tout binè ki enpòte li. Kòm yon pwen depa, ann gade distribisyon kantite depandans pami pakè nan diferan sistèm operasyon:
Fig. Xnumx
Nan prèske tout distribisyon, 60% nan pakè gen omwen 10 depandans. Anplis de sa, kèk pakè gen yon kantite siyifikativman pi gwo depandans (plis pase 100). Menm bagay la tou aplike nan depandans pake ranvèse: jan yo espere, anpil lòt pake yo itilize pakè nan distribisyon an, kidonk frajilite nan moun ki chwazi kèk yo gen gwo risk. Kòm yon egzanp, tablo ki anba la a bay lis 20 pakè ak kantite maksimòm depandans ranvèse nan SLES, Centos 7, Debian 9 ak Ubuntu 18.04 (chak selil endike pake a ak kantite depandans ranvèse).
Table 3
Enteresan reyalite. Malgre ke tout OS yo analize yo bati pou achitekti x86_64, ak pifò pakè yo gen achitekti defini kòm x86_64 ak x86, pakè yo souvan gen binè pou lòt achitekti, jan yo montre nan Figi 5. XNUMX.
Fig. Xnumx
Nan pwochen seksyon an, nou pral fouye nan karakteristik sa yo nan binè yo analize.
Estatistik pwoteksyon dosye binè
Nan minimòm absoli, ou bezwen eksplore yon seri debaz opsyon sekirite pou binè ki egziste deja ou yo. Plizyè distribisyon Linux vini ak scripts ki fè chèk sa yo. Pa egzanp, Debian/Ubuntu gen yon script konsa. Men yon egzanp travay li:
$ hardening-check $(which docker)
/usr/bin/docker:
Position Independent Executable: yes
Stack protected: yes
Fortify Source functions: no, only unprotected functions found!
Read-only relocations: yes
Immediate binding: yesScript la tcheke senk :
- Pozisyon Endepandan Egzekitab (PIE): Endike si seksyon tèks yon pwogram ka deplase nan memwa pou reyalize owaza si ASLR aktive nan nwayo a.
- Stack Pwoteje: Si stack canaries yo pèmèt yo pwoteje kont atak kolizyon pil.
- Ranfòse Sous: si fonksyon ki pa an sekirite (pa egzanp, strcpy) yo ranplase ak tokay ki pi an sekirite yo, epi yo ranplase apèl yo tcheke nan tan exécution ak tokay ki pa tcheke yo (pa egzanp, memcpy olye pou yo __memcpy_chk).
- Demenajman pou lekti sèlman (RELRO): Kit yo make antre tab demenajman yo kòm lekti sèlman si yo deklanche anvan egzekisyon an kòmanse.
- Obligasyon imedyat: Kit linker nan ègzekutabl pèmèt tout mouvman anvan ekzekisyon pwogram lan kòmanse (sa a ekivalan a yon RELRO konplè).
Èske mekanis ki anwo yo ase? Malerezman non. Gen fason li te ye pou kontoune tout defans ki anwo yo, men defans la pi di, se pi wo ba a pou atakè a. Pa egzanp, pi difisil pou aplike si PIE ak obligatwa imedyat an vigè. Menm jan an tou, ASLR konplè mande pou travay adisyonèl pou kreye yon exploit k ap travay. Sepandan, atakè sofistike yo deja prepare pou satisfè pwoteksyon sa yo: absans yo pral esansyèlman akselere Hack la. Se poutèt sa, li esansyèl ke mezi sa yo konsidere kòm nesesè minimòm.
Nou te vle etidye konbyen dosye binè nan distribisyon an kesyon ki pwoteje pa sa yo ak twa lòt metòd:
- Bit ki pa egzekite () anpeche ekzekisyon nan nenpòt rejyon ki pa ta dwe ègzèkutabl, tankou pil pil la, elatriye.
- vle di chemen an ekzekisyon itilize pa loader a dinamik pou jwenn bibliyotèk matche. Premye a se obligatwa pou nenpòt sistèm modèn: absans li pèmèt atakè yo ekri chaj la abitrèman nan memwa epi egzekite li jan li ye. Pou dezyèm lan, konfigirasyon chemen egzekisyon kòrèk ede nan entwodwi kòd enfidèl ki ka mennen nan yon kantite pwoblèm (egzanp. Ak ).
- Pwoteksyon kolizyon Stack bay pwoteksyon kont atak ki lakòz pil la sipèpoze lòt zòn memwa (tankou pil la). Bay dènye exploits abize , nou te santi li te apwopriye pou mete mekanis sa a nan dataset nou an.
Kidonk, san plis, ann desann nan nimewo yo. Tablo 4 ak 5 genyen yon rezime analiz de dosye ègzèkutabl ak bibliyotèk divès distribisyon, respektivman.
- Kòm ou ka wè, pwoteksyon NX aplike toupatou, ak eksepsyon ki ra. An patikilye, yon moun ka sonje itilizasyon yon ti kras pi ba li nan distribisyon Ubuntu ak Debian konpare ak CentOS, RHEL ak OpenSUSE.
- Pile kanari yo manke nan anpil kote, espesyalman nan distribisyon ki gen pi gran nwayo. Gen kèk pwogrè yo te wè nan dènye distribisyon Centos, RHEL, Debian ak Ubuntu.
- Ak eksepsyon Debian ak Ubuntu 18.04, pifò distribisyon yo gen pòv sipò PIE.
- Pwoteksyon kolizyon Stack fèb nan OpenSUSE, Centos 7 ak RHEL 7, epi nòmalman pa egziste nan lòt moun.
- Tout distribisyon ak nwayo modèn gen kèk sipò pou RELRO, ak Ubuntu 18.04 ki mennen wout la ak Debian vini an dezyèm.
Kòm deja mansyone, mezi yo nan tablo sa a se mwayèn pou tout vèsyon nan dosye binè a. Si w gade sèlman dènye vèsyon yo nan dosye yo, nimewo yo pral diferan (pa egzanp, gade ). Anplis, pifò distribisyon tipikman sèlman teste sekirite kèk fonksyon nan binè a lè w ap kalkile estatistik, men analiz nou an montre pousantaj vre nan fonksyon ki fè tèt di toujou. Se poutèt sa, si 5 sou 50 fonksyon yo pwoteje nan yon binè, nou pral ba li yon nòt nan 0,1, ki koresponn ak 10% nan fonksyon yo ke yo te ranfòse.
Tablo 4. Karakteristik sekirite pou dosye ègzèkutabl yo montre nan Fig. 3 (aplikasyon fonksyon enpòtan kòm yon pousantaj nan kantite total dosye ègzèkutabl)
Tablo 5. Karakteristik sekirite pou bibliyotèk yo montre nan Fig. 3 (aplikasyon fonksyon enpòtan kòm yon pousantaj nan kantite total bibliyotèk)
Kidonk, èske gen pwogrè? Gen definitivman: sa a ka wè nan estatistik yo pou distribisyon endividyèl (pa egzanp, ), osi byen ke nan tablo ki anwo yo. Kòm yon egzanp nan Fig. Figi 6 montre aplikasyon an nan mekanis pwoteksyon nan twa distribisyon siksesif Ubuntu LTS 5 (nou te omisyon estatistik pwoteksyon kolizyon pil). Nou remake ke soti nan vèsyon an vèsyon pi plis ak plis dosye sipòte kanari pile, epi tou plis ak plis binè yo anbake ak pwoteksyon RELRO konplè.
Fig. Xnumx
Malerezman, yon kantite dosye ègzèkutabl nan distribisyon diferan toujou pa gen okenn nan pwoteksyon ki anwo yo. Pou egzanp, gade nan Ubuntu 18.04, ou pral remake binè ngetty (yon ranplasman getty), osi byen ke kokiy mksh ak lksh, entèprèt picolisp, pakè nvidia-cuda-toolkit (yon pake popilè pou aplikasyon GPU akselere). tankou kad aprantisaj machin), ak klibc -utils. Menm jan an tou, binè mandos-client (yon zouti administratif ki pèmèt ou otomatikman rdemare machin ki gen sistèm fichye chiffres) ansanm ak rsh-redone-client (yon reimplementasyon rsh ak rlogin) voye san pwoteksyon NX, byenke yo gen dwa SUID : (. Epitou, Plizyè binè suid manke pwoteksyon debaz tankou kanari pile (pa egzanp, binè Xorg.wrap ki soti nan pake Xorg).
Rezime ak remak konklizyon
Nan atik sa a, nou te mete aksan sou plizyè karakteristik sekirite nan distribisyon Linux modèn. Analiz la te montre ke dènye distribisyon Ubuntu LTS (18.04) aplike, an mwayèn, OS ki pi fò ak pwoteksyon nivo aplikasyon nan mitan distribisyon ak nwayo relativman nouvo, tankou Ubuntu 14.04, 12.04 ak Debian 9. Sepandan, distribisyon yo egzamine CentOS, RHEL ak OpenSUSE nan seri nou an pa default yo pwodui yon seri pakè pi dans, ak nan dènye vèsyon yo (CentOS ak RHEL) yo gen yon pousantaj pi wo nan pwoteksyon kolizyon pil konpare ak konpetitè ki baze sou Debian (Debian ak Ubuntu). Lè w konpare vèsyon CentOS ak RedHat, nou remake gwo amelyorasyon nan aplikasyon stack canaries ak RELRO soti nan vèsyon 6 a 7, men an mwayèn CentOS gen plis karakteristik aplike pase RHEL. An jeneral, tout distribisyon yo ta dwe peye atansyon espesyal sou pwoteksyon PIE, ki, eksepte Debian 9 ak Ubuntu 18.04, aplike nan mwens pase 10% nan binè yo nan dataset nou an.
Finalman, li ta dwe remake ke byenke nou te fè rechèch la manyèlman, gen anpil zouti sekirite ki disponib (egzanp. , , ), ki fè analiz epi ede evite konfigirasyon danjere. Malerezman, menm gwo pwoteksyon nan konfigirasyon rezonab pa garanti absans eksplwatasyon yo. Se poutèt sa nou fèm kwè ke li enpòtan pou asire , konsantre sou modèl eksplwatasyon ak anpeche yo.
Sous: www.habr.com