Una vulnerabilidad altamente crítica fue detectada en la biblioteca GNU de C (glibc), un componente ampliamente utilizado en la mayoría de las distribuciones de Linux, ésta podría permitir a atacantes ejecutar código malicioso en los servidores de forma remota y tomar el control de las máquinas Linux.

La vulnerabilidad, apodada GHOST y asignada como CVE-2015-0235, fue descubierta y descrita por los investigadores de seguridad de Redwood Shores, empresa de seguridad con sede en California el martes.

GHOST se considera crítica debido a que los atacantes podrían explotarla para ganar de forma silenciosa el control completo de un sistema Linux sin tener conocimiento previo de algunas credenciales del sistema (es decir, las contraseñas administrativas).

El fallo representa una enorme amenaza en Internet, en cierto modo similar a Heartbleed, Shellshock y Poodle, que salieron a la luz el año pasado.

La vulnerabilidad en la biblioteca GNU C (glibc) es llamada GHOST ya que puede ser desencadenada por la biblioteca gethostbyname family of functions. Glibc es un repositorio de software de código abierto escrito en C y C++  que definen las llamadas al sistema.

El problema se origina realmente de un desbordamiento de búfer basado en pila que se encuentra en la función de glib __nss_hostname_digits_dots (). Esta función es especialmente invocada por las llamdas al sistema _gethostbyname y gethostbyname2 ().

Según los investigadores, un atacante remoto tiene posibilidad de llamar a cualquiera de estas funciones que podrían permitir explotar la vulnerabilidad en un esfuerzo para ejecutar código arbitrario con los permisos del usuario que ejecuta la aplicación.

En un intento de resaltar la gravedad del riesgo, los investigadores de seguridad fueron capaces de escribir una prueba de concepto de código de explotación que es capaz de llevar a cabo un ataque de ejecución remota de código en toda regla contra el servidor de correo Exim.

El exploit de los investigadores es capaz de saltarse todas las protecciones existentes contra exploits (como ASLR, PIE y NX) disponibles en ambos sistemas de 32 bits y 64 bits.

Utilizando el exploit, un atacante es capaz de diseñar correos electrónicos maliciosos que podrían comprometer automáticamente un servidor vulnerable sin siquiera abrir el correo electrónico, según Amol Sarwate, director de ingeniería de Qualys.

Hasta el momento, la compañía no ha divulgado el código de explotación al público pero con el tiempo planea hacer el exploit disponible como un módulo de Metasploit.

La vulnerabilidad afecta a las versiones de glibc a partir de glibc-2.2, lanzada en 2000.

"Por desgracia esto no fue reconocido como una amenaza de seguridad y como resultado, las distribuciones más estables y con soporte más extendido quedaron expuestas (y todavía lo son), por ejemplo: Debian 7 (Wheezy), Red Hat Enterprise Linux 6 y 7, CentOS 6 y 7, Ubuntu 12.04", dijeron los investigadores de Qualys en un aviso publicado el martes.

Sin embargo, los principales distribuciones del sistema operativo Linux, incluyendo Red Hat, Debian y Ubuntu, actualizaron el software el martes para frustrar la amenaza cibernética. Con el fin de actualizar los sistemas, se requiere el reinicio total de las funciones básicas del servidor afectado.

Red Hat, el proveedor número 1 de software de Linux para empresas, recomienda a sus clientes que actualicen sus sistemas "tan pronto como sea posible para mitigar cualquier riesgo potencial."