Hirdetés

Az Ubuntu-hack részleteit ismertette a Canonical

Július végén az IT café is beszámolt arról, hogy az üzemeltetők bejelentették: egy biztonsági incidens miatt le kellett állítaniuk az Ubuntu Forums nemzetközi oldalát. Azt is közölték, hogy az elsőre „deface”-nek látszó támadás során a fórum teljes adatbázisa kompromittálódott, így közel kétmillió felhasználó adatai kerültek illetéktelen kezekbe.

Az incidens vizsgálata nemrég lezárult, és a Canonical biztonsági csapata közzétette az eredményeit, melyek röviden összefoglalva: a probléma összetett volt, a sikeres támadást egy egyedi fiók kompromittálódása, illetve a vBulletin, a fórumalkalmazás konfigurációs beállításai tették lehetővé.

A részletes jelentés szerint július 14-én egy támadó egy extra jogosultságokkal rendelkező moderátor adataival jelentkezett be a fórumra. A behatoló a moderátor nevében három fórumadminisztrátornak küldött privát üzeneteket, amelyekben közölte, hogy szerverhibát tapasztalt a közlemények oldalon, és kérte őket, hogy nézzenek rá. Az egyik címzett meg is tette ezt, majd – mivel nem talált rendellenességet – visszajelzett, hogy nincs baj. Ám alig telt el fél perc, hogy kontrollálta az oldalt – még a válasz megírására sem történt meg – a támadó már adminisztrátorként jelentkezett be a fórumra. Ezek után a behatoló PHP-kódok segítségével jutott hozzá adatokhoz. A jogosultság birtokában az illető le tudta tölteni a felhasználók adatait: felhasználói neveket, e-mail címeket, illetve 1,85 millió tag jelszavát, ezek azonban md5-ös kódolású, „sózott” hashek voltak.

A vizsgálat szerint a támadó más adatbázisokhoz és rendszerekhez biztosan nem fért hozzá, az azonban nem világos, hogy a moderátori jelszóhoz hogyan jutott, illetve nem ismerik a kezdeti XSS-támadás módját.

A Canonical szakemberei ezek után pontokban foglalják össze, hogy a hasonló támadások megelőzésére milyen technikai, illetve egyéb lépéseket tettek.

Azóta történt

Előzmények