To access this blog post in English, click here.
Manter os sistemas atualizados com as mais recentes correções de vulnerabilidades é extremamente importante para a segurança das organizações. Novas vulnerabilidades são descobertas com frequência, que aumenta a exposição a ataques. Porém, quando se trata do principal componente de um sistema, o kernel, tais atualizações culminam na necessidade de reiniciar todo o sistema, o que implica em redução de tempo de atividade de servidores, podendo afetar a qualidade da prestação do serviço. Além disso, em uma atualização de kernel oferecida pelo fabricante, normalmente há outras modificações adicionais às correções das vulnerabilidades o que pode alterar o funcionamento do sistema de uma forma inesperada. Felizmente, há uma técnica de correção de vulnerabilidades no kernel que não traz esses impactos negativos.
O livepatch do Linux é a solução. Com esse recurso é possível realizar atualizações de segurança e correções críticas, sem a necessidade de reinicializar ou interromper os serviços. Isso torna seus sistemas mais seguros e altamente disponíveis 24/7, reduzindo os riscos e maximizando produtividade. É possível também corrigir vulnerabilidades desconhecidas do público e dos fabricantes, vulnerabilidades descoberta pelo nosso time de pesquisa. A seguir, explicaremos um pouco mais para entender essa solução.
Por quê atualizar o kernel?
O kernel é a peça central do sistema, o responsável por prover abstrações para as aplicações utilizarem o hardware de forma correta e segura. Então, se uma vulnerabilidade existe no kernel, ela pode ser utilizada para comprometer todo o sistema.
Inclusive, em cenários de ambientes compartimentalizados como Docker ou virtualizadores, a existência de vulnerabilidades no kernel compromete todos os usuários do servidor. Fazer a devida manutenção do kernel é importante para a redução da superfície de ataque e, assim, reduzir as possibilidades de um possível comprometimento.
Dificuldades em manter o kernel atualizado
Mesmo tendo clareza da necessidade de manter o kernel constantemente atualizado e com as devidas correções de segurança aplicadas, há alguns obstáculos que impedem as organizações de realizarem essa tarefa.
O principal deles é que para realizar uma atualização do kernel é necessário reiniciar o sistema. Fazer isso de forma frequente nem sempre é possível. Outro ponto importante é que atualizar o kernel traz um grande risco do sistema não voltar a funcionar como esperado. Regressões acontecem com frequência e é comum que seja por culpa do kernel. Para resolver esses problemas surgiu o kernel livepatch.
O que é livepatch?
Kernel Livepatch (KLP) é um mecanismo que o kernel provê para administradores do sistema e desenvolvedores para que eles sejam capazes de modificar o comportamento de funções no código do próprio kernel sem que a máquina precise ser reiniciada ou sem a necessidade de atualizar todo o kernel.
Esse recurso permite que correções de vulnerabilidades sejam aplicadas sem afetar a disponibilidade do serviço, ultrapassando as barreiras que existem para realizar tal tarefa. Para isso, é necessário que o administrador tenha conhecimentos a nível do kernel para codificar um módulo que proporcione a devida correção ao sistema. Esse recurso também permite corrigir vulnerabilidades de forma independente, sem depender da fabricante. Isso é interessante quando há conhecimento de uma vulnerabilidade que ainda não foi corrigida e uma versão atualizada ainda não foi disponibilizada pelo fabricante, permitindo antecipar-se e implementar correções de forma antecipada. Somos especialistas nisso.
Conte conosco
O kernel é a principal área de especialização de nosso time de pesquisa. Realizamos pesquisas em vulnerabilidades, descobrindo e explorando problemas conhecidos e desconhecidos do público e das fabricantes dos sistemas. Através do nosso serviço de consultoria, oferecemos nosso expertise para manter seus sistemas Linux seguros inclusive contra ameaças avançadas.
Conte com a Allele Security Intelligence para auxiliar sua organização a manter seus sistemas mais seguros. A seguir demonstramos em dois vídeos o funcionamento do exploit para CVE-2024-1086 em um sistema Ubuntu 22.04 vulnerável. Em seguida apresentamos a correção da vulnerabilidade no mesmo sistema via livepatch:
Agora demonstraremos que após aplicar a correção via livepatch, o exploit deixará de funcionar, tornando o sistema seguro sem necessidade de atualizar o kernel.
A vulnerabilidade utilizada no video e identificada por CVE-2024-1086 foi uma vulnerabilidade crítica descoberta recente no kernel do Linux que permitia a escalação de privilégio e o comprometimento de todo o sistema. Ela afetou diversas distribuições e um exploit confiável está disponível publicamente, facilitando o uso por agentes de ameaças não tão experientes em vulnerabilidades de kernel. Em nossos serviços você encontra a segurança de alto nível necessária para se proteger de ataques. Oferecemos proteções até a sistemas legados que não são mais suportados pelos fabricantes.
Limitações de livepatch
Por mais útil que a técnica de kernel livepatch seja ainda há algumas limitações. Pelo seu funcionamento, ela não permite aplicar correções em todas as funções do kernel. Algumas funções são otimizadas pelo compilador e talvez não possam ser modificadas via livepatch. Outras limitações também surgem quando a correção envolve mudanças na assinatura da função ou mudanças em estrutura de dados. Porém, uma grande quantidade de vulnerabilidades podem ser corrigidas via livepatch.
Além disso, a depender da vulnerabilidade que deve ser corrigida, criar um módulo de livepatch pode ser uma tarefa complexa. Diante desses cenários, é pertinente que essa atividade seja realizada por quem tem capacidade e conhecimentos avançados em kernel para garantir a segurança e o correto funcionamento do sistema.
Conclusão
O recurso de kernel livepatch através do nosso serviço de consultoria é ideal para o cliente que precisa manter os sistemas atualizados contra vulnerabilidades de alto risco e não pode reiniciar os servidores ou aguardar pelo fabricante do sistema. Além disso, devido a exclusividade do nosso expertise, também oferecemos serviços de fortalecimentos de servidores Linux. Solicite uma avaliação grátis de seus sistemas e se surpreenda com a quantidade de mudanças que podem ser feitas para reduzir a superfície de ataque e as chances de ter seus sistemas comprometidos por agentes de ameaça.