GHOST bug: trovare i server vulnerabili con Zabbix

Categoria: 

GHOST è una vulnerabilità scoperta nel gennaio 2015 che interessa la libreria glibc, uno dei componenti principali di ogni installazione Linux (si veda l'advisory https://access.redhat.com/articles/1332213). Quasi tutte le distribuzioni hanno rilasciato un aggiornamento per il componente interessato ed è compito dell'amministratore di sistema verificare che tutti i sistemi siano patchati. Purtroppo in una rete con molti server, una verifica manuale può richiedere molto tempo e portare a risultati imprecisi e incompleti. Questo template analizza tutti i server Linux e segnala automaticamente eventuali versioni di glibc obsolete. 

Come usare il template

  1. Scaricare il template: ghost_zbx_template.xml
  2. Importare il template in Configuration > Templates. Il nuovo template si chiama Ghost vulnerability check
  3. Linkare il nuovo template agli host da controllare, oppure a un template già applicato (es. Template OS Linux)
  4. Attendere circa 10-15 affinché l'item venga calcolato su tutti gli host (l'ìintervallo dell'item, di 600 secondi, può essere modificato nel template)

Anche quando il patching è completato, il template può essere lasciato attivo per rilevare eventuali host non patchati che si affacciano eventualmente sulla rete. Si consiglia però di aumentare l'intervallo dell'item a 1d (un giorno).

Come funziona

Il template zabbix in allegato è in grado di rilevare se la versione glibc installata sugli host è precedente al 27/1/2015, giorno del rilascio delle patch dai principali vendor. Se la versione non è aggiornata, verrà fatto scattare un apposito trigger. Il template controlla la data di modifica dei file /usr/sbin/glibc_post_upgrade.i686 e /usr/sbin/glibc_post_upgrade.x86_64. Esistono metodi più precisi per determinare l'avvenuta applicazione della patch (ad esempio, facendo eseguire il comando  rpm -q --changelog glibc | grep CVE-2015-0235  a Zabbix Agent) ma questi richiedono di abilitando il parametro agent EnableRemoteCommands che è disattivato di default. 

Il template recupera anche la versione del pacchetto glibc attualmente installata sul server per un'eventuale ulteriore verifica da parte dell'amministratore.

Il template è stato testato su distribuzioni redhat-like (Red Hat Enterprise Linux, CentOS, Oracle Linux, Scientific Linux).

Download

Screenshots

Triggers view

Latest data

Items configuration

Triggers configuration

 

 

Livello: 
Versione: 

Aggiungi un commento

Plain text

  • Nessun tag HTML consentito.
  • Indirizzi web o e-mail vengono trasformati in link automaticamente
  • Linee e paragrafi vanno a capo automaticamente.
CAPTCHA con immagine
Inserire i caratteri mostrati nell'immagine.