Quelle ne fut pas ma satisfaction de voir, le soir du vendredi 21 octobre 2016, avec quelle rapidité le département IT du CERN, les expériences LHC, les équipes du secteur Accélérateur et nombre d’autres personnes se sont hâtés de protéger leurs systèmes Linux contre une nouvelle et importante faille de sécurité surnommée « Dirty Cow » (ou CVE-2016-5195). ArsTechnica a qualifié cette faille « du plus sérieux bogue en matière d'élévation de privilèges que Linux ait jamais connu », ce qui était suffisamment alarmant pour nous pousser à nous protéger avant le week-end !
Il semble que les problèmes de sécurité informatique aient tendance à se manifester en fin de semaine. « Dirty Cow » est une faille particulièrement sévère qui permet à tout utilisateur local d'obtenir des privilèges d'administrateur et de contrôler ainsi le système Linux correspondant. Les systèmes utilisant Scientific Linux CERN (SLC) 5 et 6 semblaient au premier abord avoir été préservés, contrairement à Centos 7. Quelques membres courageux du département IT ont cependant prouvé le contraire après avoir passé le jeudi soir à analyser en profondeur les vecteurs d'exploitation possibles. Ils ont ainsi découvert que les systèmes utilisant SLC 5 et 6 étaient eux-aussi vulnérables. Malheureusement, comme aucun correctif n'était disponible immédiatement, le Centre de Calcul du CERN courait un véritable risque en matière de sécurité, en particulier pour ses systèmes Linux interactifs, comme LXPLUS, LXBATCH et plusieurs autres services Linux interactifs au sein des expériences et des accélérateurs. Le risque était d'autant plus élevé que le week-end approchait.
Heureusement le département IT a trouvé une mesure provisoire de protection. De longues heures ont été nécessaires ce vendredi pour préparer des modules noyaux « System Tap » et prouver que les conséquences de cette mesure temporaire sur les systèmes Linux étaient minimes (en effet, seules les fonctions de débogage ont été touchées). Enfin, vers quinze heures, le feu vert a été donné pour le déploiement massif sur les milliers de serveurs Linux LXBATCH et les centaines de serveurs LXPLUS du Centre de Calcul du CERN. Enfin, un avertissement officiel a été envoyé à tous les intéressés, y compris SWAN, ATLAS et CMS, qui ont rapidement appliqué la solution provisoire à leurs systèmes. Tard dans la nuit, tous les services d'importance critique avaient été sécurisés et étaient prêts à fonctionner pendant le week-end. Bravo le CERN ! Félicitations à tous !
Addendum : La mesure provisoire de protection n'est plus nécessaire. La faille CVE-2016-5195 peut être corrigée en utilisant la version la plus récente du noyau Linux disponible via les répertoires YUM. Il est temps de mettre à jour (et de redémarrer !) votre système !
N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.