Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu

31 июля 2013 года

Компания Canonical возобновила работу официального форума проекта Ubuntu и опубликовала отчёт с результатами разбора инцидента, в результате которого злоумышленникам удалось получить контроль над параметрами регистрации 1.8 млн пользователей. Атака была совершена через упущения в системе безопасности продукта vBulletin, используемого для организации работы форума. Непосредственно системное окружение на базе Ubuntu и сервисы проекта скомпрометированы не были.

На начальной стадии атаки атакующим удалось получить доступ к аккаунту одного из модераторов форума, имеющего право на публикацию анонсов. Далее атакующие воспользовались особенностью настройки движка форума, по умолчанию разрешающего использование HTML-разметки в тексте анонса, т.е. по сути допускающего совершение межсайтового скриптинга (XSS). Опубликовав анонс с вредоносной JavaScript-вставкой и отправив приватное сообщение администраторам с уведомлением об ошибке в форуме, злоумышленники поймали на крючок одного из администраторов. Перехватив параметры доступа администратора форума (cookies с идентификатором сессии), атакующие получили полный доступ к окружению vBulletin.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило установить Shell Kit и запускать любые команды на сервере с правами пользователя "www-data". Root-доступ получить не удалось, тем не менее, достигнутого уровня проникновения было достаточно для загрузки полной базы пользователей, включающей хэши паролей и адреса электронной почты. Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

Для предотвращения совершения атак в будущем, компания Canonical провела аудит организации работы форума и изменила настройки в пользу максимальной безопасности и изоляции (например, запрещена установка обработчиков в панель управления и запрещена вставка HTML в анонсы, для модераторов и администраторов введено обязательное использование HTTPS, движок форума ограничен средствами AppArmor). Для блокирования возможных закладок, форум и система были переустановлены, а база сообщений перестроена. Для аутентификации в форуме задействован централизованный сервис Ubuntu Single Sign On. Так как для хэширования использовался устаревший алгоритм MD5 (с солью), все ранее действующие пароли пользователей были сброшены, а вместо них сгенерированы новые случайные пароли, инструкция по использованию которых была разослана пользователям по электронной почте.

Интересно, что в анонсе достоверно утверждается, что атакующие не получили доступ к серверам с обновлениями и репозиториями с кодом Ubuntu. Остальные заявления, в том числе о неполучении root-доступа и непроникновении на фронтэнд серверы и сервисы проекта, сделаны с меньшей долей уверенности ("we believe"). Также не удалось выяснить способ, используемый для получения доступа к аккаунту модератора.