czwartek, 1 sierpnia 2013

James Troup o włamaniu na Forum Ubuntu


   30 lipca br. na witrynie Canonical James Troup przedstawił aktualne informacje o Forum Ubuntu.





   Doszło do naruszenia bezpieczeństwa Forum Ubuntu, po jakim zostało ono zamknięte. Teraz Forum Ubuntu znów jest otwarte.
   Najogólniej, przyczyną naruszenia była jednoczesna kompromitacja zaatakowanego administratora i ustawienia konfiguracyjne oprogramowania vBulletin. Dokonaliśmy naprawy Forum Ubuntu, jak i problematycznych ustawienień domyślnych oraz pracujemy z pracownikami vBulletin nad ulepszeniami.
   Atak rozpoczęty został o godzinie 16:58 w dniu 14 lipca 2013 r. Atakujący zamieścił ogłoszenie, a następnie wysyłał wiadomości do trzech administratorów Forum, twierdząc, że był błąd serwera na stronie ogłoszenia i prosząc administratorów, aby mu przyjrzeć się.
Jeden z administratorów forum szybko spojrzał na stronę ogłoszenia, nie dostrzegł nic złego i odpowiedział na prywatną wiadomość od napastnika. Prawdopodobnie napastnik dokonał ataku XSS używając ciasteczek (cookies). Atakujący byli w stanie pobrać dane wszystkich użytkowników Forum Ubuntu.
Atakujący powrócił w dniu 20 lipca dokonując oszpecenia witryny Forum.

   Atakujący miał pełny dostęp do środowiska vBulletin jako administrator co oznacza, że był one w stanie czytać i pisać w każdej tabeli w bazie danych Forum. Użył tego dostępu, aby pobrać nazwy, adresy e-mail hasła 1.820.000 użytkowników.
   Nie wiadomo, w jaki sposób atakujący uzyskali dostęp do moderatora konta użytego do rozpoczęcia ataku. Ogłoszenie atakującego zostało usunięte przez jednego z administratorów forum, więc nie wiadomo dokładnie, jaki atak XSS był użyty.

   Prawdopodobnie zupełnie przypadkowo w tym właśnie czasie, od 14 lipca (godz. 12.33) niezwykle płodny autor, Salvadhor, nie dokonywał żadnych wpisów na swoim blogu, aż do 22 lipca kiedy ogłosił:
   W lipcu Salvadhor publikował w dniach: 1, 4, 7, 9 (trzy notki), 10 (dwie notki), 11, 13, 14, 22, 26 (dwie notki), 30 i 31.

   Przed ponownym uruchomieniem Forum, wdrożono szereg zmian, zarówno do posprzątania po tym ataku, ale także do obrony i złagodzenia efektów ubocznych przy potencjalnych atakach w przyszłości. 
   Canonical jeszcze raz przeprasza za naruszenie bezpieczeństwa, kradzież danych i przerwę w działaniu Forum Ubuntu. 

Brak komentarzy:

Prześlij komentarz