Szűztelenítve: ubuntuforums.org

Biztonsági incidens.

Jólius közepén kezdődött egy eseménysorozat, amelynek végeredményeként a fenti oldal accountjai és a hozzájuk tartozó jelszóhash-ek illetéktelen kezekbe kerültek.

Július 14-én a támadó – a nagyközönség előtt nem ismert módon – hozzájutott egy moderátori fiókhoz. Ennek a moderátor-elérésnek joga volt közleményeket kirakni a fórumra. A fórum motorja vBulletin, amely alapértelmezett beállításként engedélyezte unfiltered HTML-eket (ilyenkor a HTML kifejezés nem kerül kiértékelésre, hanem úgy jelenik meg, ahogy a bejegyzés készítője megálmodta).
Ezután a támadó kirakott egy saját közleményt, majd arról értesített három fórumadmint, hogy valamilyen szerverhiba van a közlemények oldalán. Az egyik értesített adminisztrátor vetett egy pillantást a megjelölt oldalra, majd visszajelzett, miszerint semmilyen hibát nem tapasztalt. Alig fél perccel azután, hogy az admin ránézett az oldalra, a támadó már adminisztrátorként lépett be a fórumra. Valószínűsíthetően a támadó XSS-sel támadta az adminisztrátort, megszerezve mindenki cookie-ját, aki a nevezett oldalt meglátogatta. Sajnos bizonyíték nincs rá, mivel az egyik adminisztrátor (nem tudva, mit tesz) törölte az ominózus bejegyzést.

Innen már gyerekjáték volt fenntartani a hozzáférést és megszerezni az adatbázisból a users tábla tartalmát – ez majdnem kétmillió accountot jelent. Hat nappal később a támadó feltöltötte a deface oldalt.

A Canonical hangsúlyozza: a támadó nem szerzett hozzáférést a Canonical, vagy az Ubuntu szolgáltatásokhoz, beleértve a kódtárolót és a frissítő infrastruktúrát.

Ez eddig a tények ismertetése, most jöjjön, amit én mondanék a dologról. A fórum igen sokáig nem volt elérhető, így remélhetőleg a javításnál és újraindulásnál tényleg jó munkát végeztek a mérnökök. Nem világos még a Canonical számára sem, hogyan jutott a támadó moderátori hozzáféréshez. További probléma, hogy a vélhető XSS linket egy adminisztrátor kitörölte, nem lehet tudni, milyen hibát használt ki a támadó. Én azzal sem merek egyet érteni, hogy a támadó nem, vagy nem fog hozzáférni a belső infrastruktúrához. Elég egy gondatlan ember, akinek ezekhez hozzáférése van és máris kész a baj – láttunk már ilyet a HBGary-nél is.
Azzal viszont garantáltan nem értek egyet, amit egyes fórumozók felvetettek: nevezetesen, hogy a rendszer a Canonicalé, biztosan Ubuntu fut operációs rendszerként és valószínűleg a fórum látogatói közül is nagyon sokan használják, tehát veszélyben vannak. Ebben az a csúnya nagy csúsztatás, hogy valójában a hozzászólás sugallata és a tényleges történések között nincs kapcsolat. Nem az Ubuntut támadták, nem az OS-t törték meg, hanem a rajta futó, sebezhető vBulletin fórummotort. Ettől még az OS biztonságban van.
Egy másik hozzászóló feltételezte, hogy a rendszer még problémás, mivel sokadszorra tudott csak belépni a megváltoztatott SSO-rendszerrel és még meg is kellett változtatnia saját SSO-hozzáférését. Mivel mindenki másnak azonban probléma nélkül ment az Ubuntu SSO használata, gyanítható, hogy csak e felhasználónál nem stimmelt valami.

Fontos megérteni, hogy mi és miért, hogyan történt, azonban pánikot kelteni felesleges. Ugyanúgy veszélyes alábecsülni a fenyegetéseket, mint túlbecsülni, mert ekkor követhetünk el olyan hibákat, amiket később mások kihasználhatnak.

Szólj hozzá

Avatar
QR-kód
qrcode
Archívum
Kategória
+GER+ Warriors
+GER+ Clan Urban Terror Community