¿Qué hay después de LTS? Dos años de Ubuntu 14.04 en ESM

Ubuntu abril 6, 2021

Hace dos años, lanzamos la fase de Mantenimiento de seguridad extendido (ESM) de Ubuntu 14.04, que brinda acceso a parches CVE a través de una suscripción gratuita o paga de Ubuntu Advantage for Infrastructure. Esta fase extendió el ciclo de vida de Ubuntu 14.04 LTS, lanzado en abril de 2014, desde el estándar, cinco años de una versión de LTS a un total de ocho años, que finaliza en abril de 2022. Durante la fase de ESM, publicamos correcciones de seguridad para prioridad alta y crítica. vulnerabilidades para los paquetes más utilizados en los archivos principales y restringidos de Ubuntu. En esta publicación, me gustaría revisar y compartir nuestra experiencia de los últimos dos años en el mantenimiento de esta versión.

Hasta la fecha, en el ciclo de vida de Ubuntu 14.04 ESM, publicamos 238 Avisos de seguridad de Ubuntu (USN), que cubren 574 CVE que varían de prioridad alta a baja. Las actualizaciones de seguridad consiguientes, protegidas de vulnerabilidades con impactos que van desde la ejecución remota de código y escalada de privilegios, hasta vulnerabilidades de hardware de CPU. Nuestro tiempo promedio de resolución de CVE de alta prioridad fue de 14 días.

Las vulnerabilidades del software que se destacaron

No todas las vulnerabilidades son iguales y una gran publicidad, o un nombre lujoso, no siempre implica un alto riesgo. A continuación, he descompuesto las vulnerabilidades que tuvieron el mayor impacto en el ciclo de vida de 14.04 ESM: SACK Panic, GRUB2 BootHole, Baron Samedit y ejecución remota de código Exim.

SACO Pánico – kernel

El kernel de Linux, que es una parte fundamental de la superficie de ataque de cualquier sistema, tiene el potencial de generar vulnerabilidades de alto impacto. ¿Qué puede ser peor? Una vulnerabilidad en su pila TCP que se puede activar de forma remota. SACO Pánico es un conjunto de vulnerabilidades de denegación de servicio (DoS) que se aplican tanto al servidor como a los sistemas cliente y se pueden activar de forma remota. Aprovecha un desbordamiento de enteros y otras fallas en la implementación TCP del kernel de Linux de reconocimiento selectivo (SACK). Lo arreglamos con USN-4017-2 en junio de 2019

Agujero para botas GRUB2 – GRUB2

El arranque seguro UEFI establece la integridad del sistema operativo comenzando desde el BIOS UEFI y autenticando el software subsiguiente involucrado durante el arranque. En nuestro caso, ese es GRUB2, que a su vez está autenticando el kernel de Linux. Ese proceso evita que el malware se vuelva persistente al salir de los límites del sistema operativo. GRUB2 contenía varias vulnerabilidades, incluido el desbordamiento de enteros con desbordamiento del búfer de pila y uso posterior libre, que permitirían omitir su parte de autenticación. Un atacante local con privilegios administrativos o con acceso físico al sistema podría eludir la verificación de firmas del módulo GRUB2, lo que da como resultado la capacidad de cargar módulos GRUB2 arbitrarios que no han sido firmados por una autoridad confiable y, por lo tanto, eludir el arranque seguro de UEFI. Se solucionó con USN-4432-1 en julio de 2020.

Baron Samedit – sudo

Sudo es una de las herramientas más utilizadas por los administradores. Permite realizar tareas privilegiadas mientras se ejecuta como un usuario sin privilegios, brindando no solo seguridad al permitir operar sin privilegios de manera predeterminada, sino que también crea una pista de auditoría de quién realizó qué en un entorno con múltiples administradores. Esta vulnerabilidad puede causar una escalada de privilegios no autorizada por parte de los usuarios locales, debido al manejo incorrecto de la memoria en sudo (desbordamiento de búfer de pila), presente en la base de código desde 2011. Lo abordamos con USN-4705-2 en enero de 2021.

Vulnerabilidad de ejecución remota de código de Exim

Exim es uno de los principales servidores de gestión de correo (SMTP) de Ubuntu. Esta vulnerabilidad puede resultar en la ejecución remota de comandos debido a una discrepancia entre el codificador y el descodificador de una parte del protocolo SMTP. Se corrigió con USN-4124-1 en septiembre de 2019.

Las vulnerabilidades de hardware que se destacaron

El hardware, a diferencia del software, no se puede actualizar o parchear fácilmente en el campo. Como tal, cuando se encuentran vulnerabilidades dentro del propio hardware, es el software en la parte superior del hardware el que debe solucionar el problema. El hardware tiene un grado de ajuste muy limitado, por ejemplo, a través de los controladores o con microcódigo. Aquí recapitulo las vulnerabilidades de hardware más importantes que abordamos durante los dos primeros años de la vida útil de 14.04 ESM

Vulnerabilidades de Intel Microarchitectural Data Sample (MDS)

Esta vulnerabilidad en las CPU de Intel provoca una violación de la confidencialidad. Los datos que utilizan las aplicaciones que se ejecutan en la misma CPU pueden estar expuestos a un proceso malicioso que se ejecuta en el mismo núcleo de la CPU. Este es un ataque complejo que utiliza un canal lateral de ejecución especulativa y no se puede usar fácilmente para ataques dirigidos (consulte nuestra wiki para una revisión más detallada). Esta vulnerabilidad se mitiga con las actualizaciones de kernel, qemu, libvirt y microcódigo publicadas con USN-3977-1, USN-3977-3, USN-3983-1, USN-3982-2, USN-3981-2, USN-3985-2 , USN-3977-2, USN-3978-1 en mayo de 2019.

El aborto asincrónico TSX

La vulnerabilidad TSX Asynchronous Abort (TAA) permite a un atacante acceder a los búferes de microarquitectura de la CPU a través de Intel® Transactional Synchronization Extensions (Intel® TSX). De nuevo, se trata de una vulnerabilidad de confidencialidad de los datos que puede provocar la exposición de la memoria entre los procesos del espacio de usuario, entre el kernel y el espacio de usuario, entre máquinas virtuales o entre una máquina virtual y el entorno del host. El problema se mitiga con una combinación de microcódigo de procesador actualizado y actualizaciones del kernel de Linux, lanzadas con USN-4187-1, USN-4186-2 en noviembre de 2019.

Vulnerabilidades de los gráficos Intel (i915)

Estas son dos vulnerabilidades que afectan al procesador Intel Graphics. El primero (CVE-2019-0154) puede provocar un ataque de denegación de servicio (DoS) desencadenado por un usuario local. Es decir, un bloqueo del sistema puede ser causado por un usuario sin privilegios que realiza una lectura desde la salida de entrada mapeada (MMIO) de la memoria GT cuando el procesador se encuentra en ciertos estados de bajo consumo de energía.

La segunda vulnerabilidad (CVE-2019-0155) es una escalada de privilegios y una violación de la confidencialidad de los datos. Los procesadores de gráficos permitieron a los usuarios sin privilegios escribir y leer la memoria del kernel, lo que resultó en una posible escalada de privilegios.

Ambas vulnerabilidades se mitigan con actualizaciones del controlador de gráficos Intel como parte de las actualizaciones del kernel de Linux, lanzadas con USN-4187-1, USN-4186-2 en noviembre de 2019.

Echando otro vistazo

Las vulnerabilidades de software más impactantes resueltas en 14.04 ESM aprovecharon técnicas bien conocidas como desbordamientos de búfer de pila, desbordamiento de números enteros y errores de lógica. Si bien existen mitigaciones y defensas en juego, como la memoria no ejecutable disponible en las CPU modernas, así como el protector de pila, ASLR y otros en Ubuntu 14.04, estos elevan el listón para el atacante, pero no brindan una protección completa, y los ataques solo mejoran. Por lo tanto, el parcheo regular de vulnerabilidades es un elemento clave para reducir el riesgo de una infracción.

Dando un paso atrás en las vulnerabilidades del hardware, vemos que las CPU ya no se ven como cajas negras y vemos un flujo constante de vulnerabilidades identificadas y mitigadas. En presencia de estas vulnerabilidades, el alojamiento compartido, por ejemplo, en una nube, no siempre puede garantizar la confidencialidad de los datos procesados ​​por las CPU compartidas. Es imperativo tener en cuenta que la privacidad necesaria en la nube proviene no solo de la integración del hardware y el sistema operativo, sino que también requiere un sistema bien mantenido con parches de vulnerabilidad regulares en su lugar.

Los paquetes con más vulnerabilidades de seguridad

Aunque hay más de 2000 paquetes en los repositorios principales de Ubuntu 14.04 ESM, hubo paquetes que se destacaron en nuestras correcciones de vulnerabilidades. Esto no implica una debilidad de diseño, pero también se puede atribuir a su popularidad e importancia para el ecosistema de código abierto que atrae la atención de los investigadores. Nuestro gráfico a continuación muestra la cantidad de correcciones de seguridad en los principales paquetes que parcheamos.

¿Actualizar o no actualizar?

La transición al último sistema operativo es importante para el rendimiento, la habilitación del hardware, las correcciones de software y los beneficios de habilitación de la tecnología. Sin embargo, la actualización no es un proceso simple, rápido o económico. Las soluciones empresariales combinan software de una variedad de equipos dentro de una organización y, en la mayoría de los casos, existe una cadena de suministro extendida, que involucra software de proveedores externos, quienes a su vez pueden tener sus propios proveedores de software.

Tales escenarios complejos dan como resultado una dependencia de las pilas de software (por ejemplo, Java, python) que tienen ciertas propiedades en el sistema actualizado que quedaron obsoletas, reemplazadas o ligeramente modificadas en el comportamiento del sistema más nuevo. En ese caso, el proceso de actualización se convierte en un proceso de gestión de cambios que implica el análisis de riesgos, la comunicación con las partes interesadas y posiblemente la actualización de las soluciones existentes, además de la actualización real del sistema operativo.

De hecho, el principal impulsor del aumento del presupuesto de TI durante los últimos 3 años es la necesidad de actualizar la infraestructura obsoletay la actualización es parte del flujo de trabajo de todos. Mientras tanto, Ubuntu ESM sirve como un recipiente para brindarle la flexibilidad de programar actualizaciones de infraestructura y, al mismo tiempo, garantizar la seguridad y la continuidad de sus sistemas.

Obtenga más información sobre cómo otros clientes aprovecharon Ubuntu 14.04 ESM en los estudios de caso a continuación.

ESM mantiene la seguridad del sistema de Interana mientras se actualiza ›

TIM garantiza la seguridad del sistema y la confianza del cliente con ESM ›