The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

31.07.2013 08:49  Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu

Компания Canonical возобновила работу официального форума проекта Ubuntu и опубликовала отчёт с результатами разбора инцидента, в результате которого злоумышленникам удалось получить контроль над параметрами регистрации 1.8 млн пользователей. Атака была совершена через упущения в системе безопасности продукта vBulletin, используемого для организации работы форума. Непосредственно системное окружение на базе Ubuntu и сервисы проекта скомпрометированы не были.

На начальной стадии атаки атакующим удалось получить доступ к аккаунту одного из модераторов форума, имеющего право на публикацию анонсов. Далее атакующие воспользовались особенностью настройки движка форума, по умолчанию разрешающего использование HTML-разметки в тексте анонса, т.е. по сути допускающего совершение межсайтового скриптинга (XSS). Опубликовав анонс с вредоносной JavaScript-вставкой и отправив приватное сообщение администраторам с уведомлением об ошибке в форуме, злоумышленники поймали на крючок одного из администраторов. Перехватив параметры доступа администратора форума (cookies с идентификатором сессии), атакующие получили полный доступ к окружению vBulletin.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило установить Shell Kit и запускать любые команды на сервере с правами пользователя "www-data". Root-доступ получить не удалось, тем не менее, достигнутого уровня проникновения было достаточно для загрузки полной базы пользователей, включающей хэши паролей и адреса электронной почты. Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

Для предотвращения совершения атак в будущем, компания Canonical провела аудит организации работы форума и изменила настройки в пользу максимальной безопасности и изоляции (например, запрещена установка обработчиков в панель управления и запрещена вставка HTML в анонсы, для модераторов и администраторов введено обязательное использование HTTPS, движок форума ограничен средствами AppArmor). Для блокирования возможных закладок, форум и система были переустановлены, а база сообщений перестроена. Для аутентификации в форуме задействован централизованный сервис Ubuntu Single Sign On. Так как для хэширования использовался устаревший алгоритм MD5 (с солью), все ранее действующие пароли пользователей были сброшены, а вместо них сгенерированы новые случайные пароли, инструкция по использованию которых была разослана пользователям по электронной почте.

Интересно, что в анонсе достоверно утверждается, что атакующие не получили доступ к серверам с обновлениями и репозиториями с кодом Ubuntu. Остальные заявления, в том числе о неполучении root-доступа и непроникновении на фронтэнд серверы и сервисы проекта, сделаны с меньшей долей уверенности ("we believe"). Также не удалось выяснить способ, используемый для получения доступа к аккаунту модератора.

  1. Главная ссылка к новости (http://blog.canonical.com/2013...)
  2. OpenNews: Официальный форум проекта Ubuntu подвергся взлому
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ubuntu
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 10:17, 31/07/2013 [ответить] [показать ветку] [···]    [к модератору]
  • –15 +/
    Почему когда я читаю про взломы, большинство случаев это PHP?
     
     
  • 2.5, Имярек (?), 10:22, 31/07/2013 [^] [ответить]    [к модератору]
  • +45 +/
    Потому что большинство сайтов работают на пхп. А когда читаешь про вирусы в большинстве случаев это венда.
     
     
  • 3.8, asd (??), 10:30, 31/07/2013 [^] [ответить]    [к модератору]
  • –5 +/
    Тогда почему огромное, подавляющее количество серверов на линуксе не завирусовано?
    Почему они не кишат вирусами???
    Ваша точка зрения ошибочна.
     
     
  • 4.10, Аноним (-), 10:36, 31/07/2013 [^] [ответить]    [к модератору]
  • –25 +/
    Может хватит рассуждать о своих "вирусах"? Посмотрите на Ubuntu, ну чем не вредоносная, напичканная всяким шпионским ПО? Ну или Android от Google.
     
     
  • 5.16, commiethebeastie (ok), 10:49, 31/07/2013 [^] [ответить]    [к модератору]
  • +3 +/
    Если линза это шпионское ПО, тогда Google Analytics это что? ЦРУ?
     
     
     
    Часть нити удалена модератором

  • 7.43, Аноним (-), 13:15, 31/07/2013 [ответить]    [к модератору]  
  • +/
    Что-то я не припоминаю в TOS яху, гугла и прочих строчки что они предоставляют доступ для АНБ.
     
     
  • 8.72, Аноним (-), 18:59, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    Ну и люди. Им не нравится АНБ, когда рядом есть вещи и похуже, о которых даже не подозревают. Вешать нужно тех, кто всё это в Ubuntu продвинул, не уведомив пользователей (в том числе и меня).
     
  • 6.24, Аноним (-), 11:07, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    Ну не ЦРУ, но на "дочернее предприятие" тянет.
     
  • 4.12, Наивный чукотский юноша (?), 10:38, 31/07/2013 [^] [ответить]    [к модератору]  
  • +7 +/
    Небольшая часть таки затроянена. А не завирусована по той простой причине, что взлом какого-либо сервера (пусть даже с неплохими мощностями и широким каналом) - занятие достаточно трудоёмкое. Писать трояны под пользовательские win-машины гораздо проще, и охват будет шире.
     
     
  • 5.15, Аноним (-), 10:47, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    Ты очень верно подметил - затроянена. Ибо троян - не вирус. Он сам не ставится. Его нужно самому поставить в систему - неважно как: по глупости, с апдетами etc.
     
  • 5.39, asd (??), 12:50, 31/07/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Ой ли шире? Да кому нужны, кроме ботнетчиков, обычные домашние машины - сервер с кучей всего и базами и пользователями куда вкуснее...
     
     
  • 6.46, NikolayV81 (?), 13:33, 31/07/2013 [^] [ответить]     [к модератору]  
  • +/
    так там что ломать то есть 4 приложения которые в принципе наружу смотреть могу... весь текст скрыт [показать]
     
     
  • 7.65, asd (??), 17:02, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    Молодец, сам и ответил )
     
  • 6.83, Pahanivo (ok), 07:32, 01/08/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    1 где больше вероятность обнаружения у админамов, которые следят за серваком ... весь текст скрыт [показать]
     
  • 6.87, Аноним (-), 10:25, 01/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Поэтому их и ломают, как и написано в этой нвости А если бы не делали дефейс ,... весь текст скрыт [показать]
     
     
  • 7.93, Аноним (-), 19:46, 03/08/2013 [^] [ответить]    [к модератору]  
  • +/
    тут взломали форум, а не сервер
     
  • 4.58, _yurkis__ (?), 15:44, 31/07/2013 [^] [ответить]     [к модератору]  
  • +/
    На серверах вирусы не эфективны Зато root получают частенько Кстате, каждый ло... весь текст скрыт [показать]
     
  • 4.74, Celcion (ok), 19:29, 31/07/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Так толсто, что аж в двери не пролазит Кишат ли вирусами подавляющее большинств... весь текст скрыт [показать]
     
     
  • 5.92, ACCA (ok), 22:59, 02/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Виндовые сервера с вирусами? Легко. Сначала заводится админ - идиот с мышкой. Дальше продолжать?
     
  • 2.20, Аноним (-), 10:54, 31/07/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    И прикинь, все серверы подключены к электропитанию Не тут ли причина Ведь ес... весь текст скрыт [показать]
     
  • 2.34, Аноним (-), 12:04, 31/07/2013 [^] [ответить]     [к модератору]  
  • +/
    Почему когда я читаю подобный комментарий, автор этого комментария либо ненавиди... весь текст скрыт [показать]
     
     
  • 3.40, freehck (ok), 12:50, 31/07/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Плевать я хотел на php, и тратить время на его очернение тоже Поверьте, ни что ... весь текст скрыт [показать]
     
     
  • 4.42, Boboms (ok), 13:00, 31/07/2013 [^] [ответить]     [к модератору]  
  • +/
    Сударь, что-то странное у вас с восприятием Язык PHP, Piston, C, 1C нельзя ... весь текст скрыт [показать]
     
     
  • 5.44, Аноним (-), 13:20, 31/07/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    PHP - можно. Только в позорном языке может быть выполнение внешнего кода (include "http://...) и тому подобные конструкции.
     
     
  • 6.73, pro100master (ok), 19:02, 31/07/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    внешний транспорт отключен по-умолчанию и включить его можно только принудительн... весь текст скрыт [показать]
     
     
  • 7.85, freehck (ok), 08:28, 01/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Почему же Очень даже приходит Уже буквально искричались о том, как в очередной... весь текст скрыт [показать]
     
  • 5.47, NikolayV81 (?), 13:39, 31/07/2013 [^] [ответить]     [к модератору]  
  • +/
    Эх а вот многие любители выгуливать любимцев во дворе с вами не согласятся ... весь текст скрыт [показать]
     
  • 5.48, бедный буратино (ok), 13:53, 31/07/2013 [^] [ответить]     [к модератору]  
  • –3 +/
    Можно Если можно внести уязвимость одним росчерком пера, и таких мест десятки, ... весь текст скрыт [показать]
     
  • 5.86, freehck (ok), 08:35, 01/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > Язык (PHP, Piston, C, 1C) нельзя опозорить в принципе.

    Тем не менее, позиция "я не буду использовать этот язык, потому что его сообщество ведет себя крайне неадекватно", вполне оправдана.

     
  • 4.76, 1 (??), 23:11, 31/07/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > не смог объяснить вебнику

    Прочитал как "не смог объяснить ребенку". Если это тест, то заявляю, что я несколько нетрезв.

     
  • 2.41, freehck (ok), 12:52, 31/07/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Потому что веб-программисты - в основном безграмотные новички, которые в основно... весь текст скрыт [показать]
     
     
  • 3.56, Аноним (-), 15:23, 31/07/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > в основном начинают с php

    И какой-же язык лучше, какой превосходит пхп по всем показателям? Вы все - индивиды на одно лицо. И ваш  лозунг ныть "какой пхп плохой, какой он то, это".. Клоуны.

     
     
  • 4.64, arisu (ok), 16:58, 31/07/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > И какой-же язык лучше, какой превосходит пхп по всем показателям?

    по критерию «количество идиотов, пользующихся данным языком» php превзойти вряд ли получится, да.

     
     
  • 5.80, pro100master (ok), 00:43, 01/08/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    так же, как и по критерию "количество идиотов, критикующих данный ЯП". Баланс природы, ага :)
     
  • 2.53, Аноним (-), 15:10, 31/07/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >  Почему когда я читаю про взломы, большинство случаев это PHP?

    Потому что на брейнфаке не пишут сайты. Поэтому взломов сайтов на брейнфаке не происходит. Сложно взломать то чего нет :)

     
  • 2.62, Sabakwaka (ok), 16:17, 31/07/2013 [^] [ответить]     [к модератору]  
  • +/
    А почему, когда я читаю про взломы, большинство случаев это 171 совершена 14 и... весь текст скрыт [показать]
     
  • 2.70, vitalif (ok), 18:35, 31/07/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Потому что на PHP, кроме нормальных людей, пишет ещё и очень много дебилов Возм... весь текст скрыт [показать]
     
     
  • 3.71, arisu (ok), 18:38, 31/07/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    как сказать опция 171 загрузить и установить плугин 187 8212 не такая уж... весь текст скрыт [показать]
     
  • 2.78, ffirefox (?), 23:16, 31/07/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    PHP тут лишь проявление более тяжелой проблемы Сколько раз твердили миру админ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (38)

  • 1.2, Andrew Kolchoogin (ok), 10:18, 31/07/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    А вот мне интересно, почему AAA-данные хранятся таким незащищённым образом, что можно их вытащить?
    Что мешает AAA-сервер держать на отдельной машине, а движку форума отдавать только сообщения типа "пароль верен"/"пароль неверен".
     
     
  • 2.36, VoDA (ok), 12:23, 31/07/2013 [^] [ответить]     [к модератору]  
  • +/
    На это и перешли - SSO ... весь текст скрыт [показать]
     
  • 2.45, anonymous (??), 13:26, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    Как это бы спасло от перехвата куков и дефейса?
     
     
  • 3.75, Sabakwaka (ok), 20:19, 31/07/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Думать не пробовал?
     
     
  • 4.81, pro100master (ok), 00:45, 01/08/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    давайте подумаем вместе Например, про куки с других доменов и как куки связаны ... весь текст скрыт [показать]
     
  • 4.84, друг Sabakwaka (?), 08:05, 01/08/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    не нужно ссориться, мы все дети Линукса и его потомки, -давай те жить дружно
     
  • 3.82, angra (ok), 03:56, 01/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Никак. Более того, от перехвата паролей это тоже бы не помогло. Единственная польза с этого - защита хешей паролей _неактивных_ пользователей. Как по мне, это того не стоит.
     
  • 1.3, Анонив (?), 10:21, 31/07/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    а вот если стояла бы joomla вместо vBulletin, то такой лажи бы не произошло.
     
     
  • 2.9, asd (??), 10:30, 31/07/2013 [^] [ответить]    [к модератору]  
  • +10 +/
    > а вот если стояла бы joomla вместо vBulletin, то такой лажи бы
    > не произошло.

    Да, было бы ещё более эпично.

     
     
  • 3.25, NikolayV81 (?), 11:08, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    Delphi то чем не угодила? Вот тут переходим на VS2012 под Win, неудобно, недостатки редактора кода, до Delphi ему ещё лет 20 в развитии ( если взять delphi 7 который был фиг знает когда ).
     
     
  • 4.28, Аноним (-), 11:37, 31/07/2013 [^] [ответить]    [к модератору]  
  • +6 +/
    Время не тратьте. Переходите на Qt.
     
     
  • 5.32, NikolayV81 (?), 11:55, 31/07/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    Вот что то нет у меня уверенности что оно хотя бы дотягивает до Delphi 7 по удоб... весь текст скрыт [показать]
     
     
  • 6.37, Crazy Alex (ok), 12:29, 31/07/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Для стандартных форм и CRUD - оно и не дотягивает. Вот когда хотелось странного - в дельфях/билдере плохо было, это да.
     
  • 6.66, arisu (ok), 17:02, 31/07/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    редактора чего если ты в дельфях занимаешься только формошлёпством, то зачем ... весь текст скрыт [показать]
     
     
  • 7.88, NikolayV81 (?), 11:12, 01/08/2013 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален в начале было что про редактор кода, gui обычно мало вре... весь текст скрыт [показать]
     
  • 2.54, Аноним (-), 15:12, 31/07/2013 [^] [ответить]     [к модератору]  
  • +/
    Казалось бы как CMSина заменяет форум Тогда уж phpbb3 Он, кстати, достаточно с... весь текст скрыт [показать]
     
     
  • 3.63, Аноним (-), 16:54, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    Там вместо md5 чуть лучше хэширование: http://www.openwall.com/phpass/ (пруф к исходном коде).

    Алсо, с IPB взломы тоже не особо часты, с vanillaforum не доводилось слышать.

     
     
  • 4.89, Аноним (-), 12:53, 01/08/2013 [^] [ответить]    [к модератору]  
  • +/
    >с IPB взломы тоже не особо часты

    Часты, часты.

     
  • 2.59, Michael Shigorin (ok), 16:05, 31/07/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Да, всё было бы куда прозаичней http secunia com advisories search search jo... весь текст скрыт [показать]
     
  • 2.61, Сергей (??), 16:16, 31/07/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > а вот если стояла бы joomla вместо vBulletin

    Это был бы уже косяк сам по себе. И повод сразу получить в лицо тухлым помидором.

     
  • 1.6, ИМХО (?), 10:24, 31/07/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    >  Также не удалось выяснить способ, используемый для получения доступа к аккаунту модератора.

    значит что выше написано бред

     
     
  • 2.11, Аноним (-), 10:37, 31/07/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    И ниже тоже.
     
  • 1.23, robux (ok), 11:06, 31/07/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > не удалось выяснить способ, используемый для получения доступа к аккаунту модератора.

    Всё просто: модератор анонсов глотнул синей пилюли АНБ.

    Ну а щас он у Марка в кабинете лапшу вешает:
    - Шеф, не понимаю как так случилось!

     
     
  • 2.49, ИМХО (?), 14:07, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    Сталина на таких модераторов нету
     
     
  • 3.55, Аноним (-), 15:13, 31/07/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > Сталина на таких модераторов нету

    Да и вас неплохо бы в расход пустить. Ну так, на всякий случай. Мало ли чего.

     
     
  • 4.60, ИМХО (?), 16:06, 31/07/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Вот и за таких анонимов как ты при Сталине невинные люди страдали
     
  • 1.26, Аноним (-), 11:15, 31/07/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Разве атака производилась не одним человеком?
     
  • 1.27, Аноним (-), 11:29, 31/07/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Разве при проверке сессии по кукам не прикручивают ещё проверку на изменение ip ... весь текст скрыт [показать]
     
     
  • 2.33, Аноним (-), 11:55, 31/07/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Они(vBulletin Solutions) даже http-only куки не освоили.
     
  • 1.30, umbr (ok), 11:52, 31/07/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Атака была ... обнаружена ... после того как злоумышленники выполнили дефейс сайта.

    Совсем хреново у них с безопасностью.

     
     
  • 2.35, Аноним (-), 12:20, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    >>Атака была ... обнаружена ... после того как злоумышленники выполнили дефейс сайта.
    > Совсем хреново у них с безопасностью.

    А у вас?

     
     
  • 3.57, umbr (ok), 15:38, 31/07/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Как у всех. Чужие соломинки заметнее своих бревен :)
     
  • 3.67, arisu (ok), 17:05, 31/07/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >> Совсем хреново у них с безопасностью.
    > А у вас?

    а у меня всё хорошо, ещё никто ничего ни разу не сломал. так я им и дал свой локалхост на растерзание!

     
  • 1.38, Сергей (??), 12:39, 31/07/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Как обычно. Пока гром не грянет, дурак не перекрестится.
     
  • 1.50, Аноним (-), 14:26, 31/07/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Даааааа 6 дней, получается, висел анонс с XSS-кой 6 дней администратор не до... весь текст скрыт [показать]
     
     
  • 2.51, Аноним (-), 14:30, 31/07/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    Модератор тоже хорош - от его имени опубликован анонс, а он даже не поинтересовался "какого хрена от моего имени совершаются какие-то действия".
     
  • 1.77, Аноним (-), 23:14, 31/07/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ничего не знаю, но я определенно понимаю, что именно PHP - причина взлома форума.
     
     
  • 2.79, ffirefox (?), 23:22, 31/07/2013 [^] [ответить]    [к модератору]  
  • +/
    PHP - средство. Причина - использование административных полномочий для пользовательских действий
     
  • 1.90, mangust (?), 13:32, 01/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >Далее атакующие воспользовались особенностью настройки движка форума, по >умолчанию разрешающего использование HTML-разметки в тексте анонса, т.е. по сути >допускающего совершение межсайтового скриптинга (XSS).

    Возможность получить админские куки, тут PHP ещё не причем

    >Далее, используя возможность добавления обработчиков в панель управления, >атакующие смогли организовать выполнение произвольного PHP-кода, что позволило >установить Shell Kit и запускать любые команды на сервере с правами пользователя >"www-data"

    а такой финт возможен только с PHP

     
  • 1.91, klay (??), 02:47, 02/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А почему интересно компания Canonical, обладающая пользовательской базой
    > 1.8 млн пользователей

    доверила всё это дело vBulletin?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor