BETA

Canonical: Παραβίαση στο Ubuntu Forums

Εικόνα Maria

Σε επίσημη ανακοίνωση που εξέδωσε η Canonical αποκάλυψε εχθές το πρωί (Παρασκευή 15 Ιουλίου 2016) ότι επιτιθέμενος παραβίασε το Ubuntu Forums, χρησιμοποιώντας τεχνικές επίθεσης SQL injection, και υπέκλεψε τα ονόματα, τα emails και τις διευθύνσεις IPs δύο εκατομμυρίων χρηστών.

Ο εισβολέας εκμεταλλεύτηκε κάποια ευπάθεια χρησιμοποιώντας επίθεση SQL injection σε ένα μη ενημερωμένο add-on (πρόσθετο) που χρησιμοποιεί το vBulletin, το λογισμικό της vBulletin που χρησιμοποιεί το Ubuntu Forums.

Ο επιτιθέμενος, έτσι, απέκτησε πρόσβαση στις βάσεις δεδομένων του forum.

Σύμφωνα με την Canonical βέβαια, την εταιρεία που αναπτύσσει το Ubuntu, ο επιτιθέμενος απέκτησε περιορισμένα δεδομένα χρηστών, δηλαδή τα ονόματά τους, τις IPs τους και τα μέιλ των μελών από την βάση δεδομένων του Ubuntu Forums.
Οι κωδικοί δεν αποθηκεύονται ως απλό κείμενο· είναι κρυπτογραφημένοι (hashed και salted όπως αναφέρει χαρακτηριστικά – χωρίς βέβαια να αναφέρει ποίος ο αλγόριθμος που χρησιμοποιείται για τον κατακερματισμό των κωδικών και το εάν είναι εύκολο να σπάσει). Έτσι λοιπόν, ενώ ο εισβολέας απέκτησε πρόσβαση στον πίνακα 'χρήστη', και τον κατέβασε (download), εκεί υπάρχουν μεν και οι κωδικοί των χρηστών, μα δεν πρόκειται για ενεργούς κωδικούς πρόσβασης. Και αυτό γιατί οι κωδικοί πρόσβασης που αποθηκεύονται σε αυτόν τον πίνακα ήταν τυχαία strings - strings είναι αλφαριθμητικές σειρές χαρακτήρων· το String είναι ένας μονοδιάστατος πίνακας από χαρακτήρες που τελειώνει σε \0.

Στην ανακοίνωσή της, η Canonical επισημαίνει ακόμα πως ο επιτιθέμενος δεν απέκτησε πρόσβαση στα αποθετήρια του κώδικα του λειτουργικού συστήματος ούτε και στα αποθετήρια του κώδικα κάποιου μηχανισμού επικαιροποίησης (ενημέρωσης).

Πιστεύει πως ο επιτιθέμενος δεν κατάφερε να αποκτήσει πρόσβαση στον κώδικα ούτε της βάσης δεδομένων του Ubuntu Forums, ούτε στον κώδικα κάποιας από τις εφαρμογές του Φόρουμ αλλά ούτε και στους servers (διακομιστές) του Ubuntu Forums.

Να θυμίσουμε ότι το Ubuntu Forums είχε παραβιαστεί ξανά το 2013· δείτε: Παραβίαση ασφαλείας στο Ubuntu Forums [ubuntuforums.org].

 

Τι συνέβη

Πέμπτη 14 Ιουλίου 2016 και ώρα 20:33 UTC / Συντονισμένη Παγκόσμια Ώρα (23:33 ώρα Ελλάδας)· η Canonical ενημερώνεται πως κάποιος ισχυρίζεται ότι κρατάει στα χέρια του ένα αντίγραφο της βάσης δεδομένων του Φόρουμ:

At 20:33 UTC on 14th July 2016, Canonical’s IS team were notified by a member of the Ubuntu Forums Council that someone was claiming to have a copy of the Forums database.

After some initial investigation, we were able to confirm there had been an exposure of data and shut down the Forums as a precautionary measure.
Deeper investigation revealed that there was a known SQL injection vulnerability in the Forumrunner add-on in the Forums which had not yet been patched.

που σημαίνει:

Στις 20:33 UTC, την 14η Ιουλίου 2016, η ομάδα της Canonical ενημερώνεται, από ένα μέλος του συμβουλίου του Ubuntu Forums, πως κάποιος ισχυρίζεται ότι έχει ένα αντίγραφο της βάσης δεδομένων του Ubuntu Forums.

Κάνοντας μία πρώτη έρευνα, επιβεβαιώσαμε ότι όντως υπήρξε έκθεση των δεδομένων και, προληπτικά, κλείσαμε το Φόρουμ.
Η περαιτέρω έρευνα αποκάλυψε ότι ο επιτιθέμενος παραβίασε το Ubuntu Forums χρησιμοποιώντας επίθεση SQL injection και εκμεταλλευόμενος κάποια ευπάθεια σε πρόσθετο του λογισμικού που χρησιμοποιεί το Ubuntu Forums· μία ευπάθεια που δεν είχε ακόμα διορθωθεί.

 

Σε τι απέκτησε πρόσβαση ο επιτιθέμενος

Σύμφωνα με την Canonical:

The attacker had the ability to inject certain formatted SQL to the Forums database on the Forums database servers. This gave them the ability to read from any table but we believe they only ever read from the ‘user’ table.

They used this access to download portions of the ‘user’ table which contained usernames, email addresses and IPs for 2 million users. No active passwords were accessed; the passwords stored in this table were random strings as the Ubuntu Forums rely on Ubuntu Single Sign On for logins. The attacker did download these random strings (which were hashed and salted).

δηλαδή:

Ο επιτιθέμενος ή οι επιτιθέμενοι μπόρεσαν, με τεχνικές επίθεσης SQL injection, να παραβιάσουν την βάση δεδομένων του Φόρουμ που βρίσκεται στους servers του Ubuntu Forums. Αυτό, τους έδωσε την δυνατότητα να διαβάσουν οποιονδήποτε πίνακα 'χρήστη'· πιστεύουμε, όμως, ότι είχαν μόνον την δυνατότητα να διαβάσουν (και όχι να γράψουν).

Χρησιμοποίησαν αυτήν την πρόσβαση για να κατεβάσουν (download) τμήματα του πίνακα 'χρήστη' ο οποίος περιείχε ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και διευθύνσεις IPs χρηστών. Τοιουτοτρόπως, απέκτησαν πρόσβαση στα στοιχεία 2 εκατομμυρίων χρηστών. Σε αυτόν τον πίνακα (που απέκτησαν πρόσβαση και τον οποίον κατέβασαν), υπάρχουν μεν και οι κωδικοί των χρηστών, μα δεν πρόκειται για ενεργούς κωδικούς πρόσβασης. Και αυτό γιατί οι κωδικοί πρόσβασης που αποθηκεύονται σε αυτόν τον πίνακα ήταν τυχαία strings καθώς το Ubuntu Forums βασίζεται σε μια ενιαία υπηρεσία σύνδεσης των χρηστών του Ουμπούντου, την Single Sign On.
Ο εισβολέας κατέβασε πάντως αυτά τα τυχαία strings (που είναι hashed και salted).

 

Σε τι δεν μπόρεσε να αποκτήσει πρόσβαση ο εισβολέας

We know the attacker was NOT able to gain access to any Ubuntu code repository or update mechanism.

We know the attacker was NOT able to gain access to valid user passwords.

που σημαίνει:

Γνωρίζουμε ότι ο επιτιθέμενος δεν μπόρεσε να αποκτήσει πρόσβαση σε κώδικα κανενός αποθετηρίου αλλά ούτε και σε κώδικα του οιουδήποτε μηχανισμού αναβάθμισης (ενημέρωσης) του Ubuntu.

Γνωρίζουμε ότι ο επιτιθέμενος δεν μπόρεσε να αποκτήσει πρόσβαση σε έγκυρους κωδικούς πρόσβασης των χρηστών.

 

Σε τι η Canonical πιστεύει πως δεν μπόρεσε να αποκτήσει πρόσβαση ο εισβολέας

We believe the attacker was NOT able to escalate past remote SQL read access to the Forums database on the Forums database servers.

We believe the attacker was NOT able to gain remote SQL write access to the Forums database.

We believe the attacker was NOT able to gain shell access on any of the Forums app or database servers.

We believe the attacker did NOT gain any access at all to the Forums front end servers.

We believe the attacker was NOT able to gain any access to any other Canonical or Ubuntu services.

που, λίγο-πολύ, στα ελληνικά σημαίνει:

Πιστεύουμε ότι ο επιτιθέμενος δεν μπόρεσε να αναπροσαρμόσει την πρόσβαση ανάγνωσης που είχε επιτευχθεί κατά το παρελθόν στην βάση δεδομένων του Φόρουμ (του Forums), μέσω επίθεσης SQL, στους servers του Ubuntu Forum.

Πιστεύουμε ότι ο εισβολέας δεν μπόρεσε να αποκτήσει πρόσβαση εγγραφής στην βάση δεδομένων του Ubuntu Forums.

Πιστεύουμε ότι ο επιτιθέμενος δεν μπόρεσε να αποκτήσει πρόσβαση σε κώδικα καμίας από τις εφαρμογές του Ubuntu Forums αλλά ούτε και στον κώδικα της βάσης δεδομένων των servers του Φόρουμ.

Πιστεύουμε ότι ο εισβολέας δεν μπόρεσε να αποκτήσει διόλου πρόσβαση σε κανένα από τα τμήματα σχεδιασμού και ανάπτυξης (front-end) των servers του Ubuntu Forums.

Πιστεύουμε ότι ο επιτιθέμενος δεν μπόρεσε να αποκτήσει καθόλου πρόσβαση σε καμία άλλη υπηρεσία της Canonical ή του Ubuntu.

 

Τι μέτρα πήρε η Canonical

What we’ve done

Cleanup

 

We backed up the servers running vBulletin, and then wiped them clean and rebuilt them from the ground up.

We brought vBulletin up to the latest patch level.

We reset all system and database passwords.

δηλαδή:

Τι κάναμε

Καθαρισμό (Σάρωση)

 

Κρατήσαμε αντίγραφο ασφαλείας των servers που τρέχουν vBulletin και, εν συνεχεία, τους καθαρίσαμε και τους ξαναχτίσαμε από το μηδέν.

Ενημερώσαμε την έκδοση του λογισμικού vBulletin του φόρουμ ώστε να έχει μέχρι και τα πιο πρόσφατα patches (επιδιορθώσεις / ενημερώσεις).

Επαναφέραμε όλους τους κωδικούς πρόσβασης του συστήματος και της βάσης δεδομένων.

 

Η Canonical εντείνει τα μέτρα ασφάλειας

Η Canonical, θέλοντας όσο το δυνατόν να διασφαλίσει πως κάτι τέτοιο δεν θα ξανασυμβεί, παίρνει έξτρα μέτρα:

We’ve installed ModSecurity, a Web Application Firewall, to help prevent similar attacks in the future.

We’ve improved our monitoring of vBulletin to ensure that security patches are applied promptly.

δηλαδή:

Εγκαταστήσαμε το ModSecurity, ένα Firewall (που λειτουργεί σαν τοίχος προστασίας) το οποίο προσφέρει ανίχνευση και προστασία από επιθέσεις σε διαδικτυακές εφαρμογές, για την πρόληψη παρόμοιων επιθέσεων στο μέλλον.

Εστιάζουμε περισσότερο πλέον στον έλεγχο των ενημερώσεων του vBulletin για να εξασφαλιστεί ότι τα patches (οι επιδιορθώσεις) ασφαλείας εφαρμόζονται αμέσως.

 

>>> η ανακοίνωση της Canonical

 

Πηγές: [1] - [2]

ΣΗΜΕΙΩΣΗ: Nα διευκρινίσουμε, πως αυτό ΔΕΝ επηρεάζει το forum της ελληνικής κοινότητας Ubuntu ή αυτά άλλων χωρών, καθώς είναι εντελώς ανεξάρτητα.

Αυτά είναι χτυπήματα κάτω από την ζώνη και καμία σχέση με «hacking» ή όπως αλλιώς θέλει να ονομάζει ο καθένας αυτού του είδους τις επιθέσεις.
Όποιος νομίζει πως αυτά θα ζημιώσουν το Linux οικοσύστημα είναι πολύ γελασμένος.

  • Σχόλια

1 Comments:

  1. Εικόνα DarkGoth
    DarkGothΙουλ 19, 2016 02:47 ΠΜ

    ηλιθια script kiddies που το παιζουν (με το χερι μεσα στο παντελονι) χακεραδες και ιστορια. αλλα και η canonical, να εχει ακομα ευπαθεια σε sql injection? ειναι σαν να λεμε οτι καταφεραν να ριξουν τον σερβερ με ping flood (κατι που επισης μονο καποιο script kiddie θα θεωρουσε «χακεμα», αφου πλεον ολα τα συστηματα εχουν απο default πληρη ανοσια σε κατι τετοιες απαρχαιωμενες «επιθεσεις»). τουλαχιστον δεν ειναι τοσο ακυροι που να αποθηκευουν τους κωδικους και τα στοιχεια σε plain text. γιατι δυστυχως υπαρχουν ακομα τετοιες παρακμιακες και τελευταιες σελιδες που ακομα αποθηκευουν στοιχεια χρηστων σε plain text (και ακομα χειροτερα η συνδεση δεν γινεται καν με https, αλλα με σκετο http. η απολυτη καταντια, και ασχετοσυνη, απο τεχνικους αναλυτες της σειρας και της πλακας)

Scroll to Top