Bất kì máy chủ nào cũng có thể xảy ra những lỗi nhất định. Và VPS Linux cũng khó tránh khỏi điều này. Một trong những lỗi phổ biến mà chúng tôi muốn đề cập dưới đây chính là Dirty COW.
Lỗ hổng Dirty COW là gì?
Dirty COW là một lỗ hổng bảo mật trên nhân của Linux. Nó ảnh hưởng đến tất cả các hệ điều hành dựa trên Linux. Dirty COW đã tồn tại khá lâu ít nhất là từ năm 2007, nhưng lỗi này được phát hiện đầu tiên vào năm 2016, và COW nghĩa là copy-on-write. Đại đa số các máy chủ đều có nguy cơ bị tấn công bởi lỗ hổng này. Dirty COW thuộc dạng lỗ hổng leo thang đặc quyền, cho phép hacker có 1 tài khoản user (với quyền hạn chế) tấn công để chuyển thành quyền quản trị (admin). Hay nói cách khác nó là lỗi trong Linux Kernel, cho phép một local user lấy được quyền của root user.
Trong các cuộc tấn công, lỗ hổng này có thể được kết hợp với một số dạng lỗi phổ biến như SQL injection, Buffer Overflow,… Mục đích là để kiểm soát toàn bộ hệ thống của máy chủ với quyền quản trị cao nhất (root, system). Cho đến nay lỗ hổng bảo mật này vẫn chưa được vá hoàn toàn và hiện tại vẫn có thể bị khai thác một cách dễ dàng. Lỗi này xảy ra có nghĩa là một người dùng thông thường không có đặc quyền trên máy chủ của bạn có thể có quyền truy cập vào bất kỳ tệp nào họ có thể đọc. Và từ đó có thể tăng đặc quyền của họ trên hệ thống.
Cách kiểm tra lỗ hổng Dirty COW
Trên Ubuntu/Debian
Để tìm hiểu xem máy chủ của bạn có bị ảnh hưởng hay không, hãy kiểm tra phiên bản hạt nhân của bạn.
# uname -rv
Bạn sẽ thấy đầu ra như thế này:
4.4.0-42-generic #62-Ubuntu SMP Fri Oct 7 23:11:45 UTC 2016
Nếu phiên bản của bạn cũ hơn phiên bản sau, bạn đã gặp phải lỗi hổng Dirty COW:
- 4.8.0-26.28 cho Ubuntu 16.10
- 4.4.0-45.66 cho Ubuntu 16.04 LTS
- 3.13.0-100.147 cho Ubuntu 14.04 LTS
- 3.2.0-113.155 cho Ubuntu 12.04 LTS
- 3.16.36-1+deb8u2 cho Debian 8
- 3.2.82-1 cho Debian 7
- 4.7.8-1 cho Debian không ổn định
Trên CentOS
Một số phiên bản của CentOS có thể sử dụng RHEL để kiểm tra lỗ hổng máy chủ của bạn. Để dùng thử, trước tiên hãy tải xuống tập lệnh tại đây.
wget https://access.redhat.com/sites/default/files/rh-cve-2016-5195_1.sh
Sau đó chạy nó với bash:
bash rh-cve-2016-5195_1.sh
Nếu bạn dễ bị dính lỗi này, bạn sẽ thấy đầu ra như thế này:
Your kernel is 3.10.0-327.36.1.el7.x86_64 which IS vulnerable. Red Hat recommends that you update your kernel. Alternatively, you can apply partial mitigation described at https://access.redhat.com/security/vulnerabilities/2706661 .
Cách bảo vệ máy chủ của bạn khỏi lỗi Dirty Cow
Nếu máy chủ của bạn được định cấu hình để cập nhật phần mềm tự động, thì máy chủ đó đã cài đặt bản vá mới. Nhưng để các bản cập nhật đã cài đặt có hiệu lực, bạn sẽ phải khởi động lại máy chủ. Hầu hết các máy chủ trực tiếp đều vô hiệu hóa cập nhật tự động do sợ lộn xộn. Trong những trường hợp như vậy, bạn phải cập nhật hệ điều hành lên phiên bản bảo mật theo cách thủ công. Tuy nhiên cách khắc phục ngay lập tức đó là cập nhật phần mềm trong máy chủ của bạn.
Hướng dẫn cập nhật phần mềm trên Ubuntu/Debian
Cập nhật và nâng cấp các gói của bạn bằng apt-get.
# sudo apt-get update && sudo apt-get dist-upgrade
Bạn có thể cập nhật tất cả các gói của mình trên CentOS 5, 6 và 7 bằng sudo yum update. Nhưng nếu bạn chỉ muốn cập nhật kernel để giải quyết lỗi này, hãy chạy:
sudo yum update kernel
Cuối cùng, trên tất cả các bản phân phối, bạn sẽ cần khởi động lại máy chủ của mình để áp dụng các thay đổi.
# sudo reboot
*Lưu ý: Mặc dù có những cách khắc phục khác nhau nhưng vẫn nên đảm bảo cập nhật máy chủ Linux của bạn để luôn bảo vệ khỏi lỗi Dirty COW. Đối với Centos hiện tại vẫn đang cập nhật cách khắc phục lỗi này.
Đây là một lỗ hổng zero-day và khó phát hiện ra tấn công. Vì vậy, việc bảo mật máy chủ của bạn ngay lập tức là rất quan trọng để tránh bị hack. Nếu bạn muốn biết cách sử dụng và bảo mật máy chủ của mình tốt nhất hãy truy cập ngay zingserver.com. Chúng tôi luôn ở đây 24/7 và sẵn sàng giải đáp mọi thắc mắc của bạn!
