Włamano się po raz kolejny na forum Ubuntu

Włamano się po raz kolejny na forum Ubuntu

przez -
4 1186
Canonical Ubuntu

Canonical poinformowało o włamaniu na ich oficjalne forum Ubuntu. Jest to już drugi taki przypadek w historii przedsiębiorstwa. Pierwszy miał miejsce dokładnie 3 lata temu, a prawdopodobną przyczyną złamania zabezpieczeń była przestarzała wersja skryptu forum vBiulletin, która nie posiadała ochrony panelu admina. Tym razem jednak włamywacze wykorzystali metodę SQL injection, a dokładniej lukę w dodatku Forumrunner. Udało się pozyskać loginy i adresy email ponad 2 milionów użytkowników. Na szczęście hasła pozostały bezpieczne, dzięki usłudze Ubuntu Single Sign On.

Skala jest zatem ogromna, ale co najciekawsze administratorzy nic by nie wiedzieli o luce, gdyby ktoś nie zaczął się chwalić posiadaniem takowej bazy.

Oczywiście poczyniono już odpowiednie kroki zabezpieczające:

  • Wykonano kopię zapasową forum i zainstalowano wszystko od zera
  • Zaktualizowano vBiulletin do najnowszej wersji
  • Zresetowano wszystkie hasła oraz systemy
  • Zainstalowano ModSecurity oraz zaporę sieciową
  • Poprawiono monitoring, szczególnie przy dodawaniu nowych łatek

Administratorzy podkreślają, że repozytoria oraz inne usługi są całkowicie bezpieczne.

  • Wykonano kopię zapasową forum… napastnicy pewnie też wykonali “kopię zapasową” i bazy danych z zahashowanymi hasłami… :D

    • A na co im hashe haseł? Przecież jeśli do hashowania użyto soli (nie uwierzę, że było inaczej) to same hashe są bezużyteczne.

    • W 100% się mylisz bo mając kopię bazy danych tego forum, posiadają przecież dostęp do soli. Sól przecież przechowywana jest dla każdego użytkownika również w bazie danych. Skąd wiedzieć gdzie dokleić sól? To też bardzo proste. Wystarczy dokonać detekcji oprogramowania forum. Jest do tego oczywiście oprogramowanie, ale nie trzeba się trudzić bo już w stopce widać że to jest vBulletin. Informacje na temat budowy hasha z solą znajdzie się bez problemu w sieci, ewentualnie można dokonać inżynierii odwrotnej w prosty sposób analizując kod źródłowy oprogramowania forum.

      Jednak wszystkie lepsze, znane programy do łamania hashy mają już zaimplementowaną metodę łamania danego hasha. W przypadku programu hashcat (olchashcat na Windows) jest to wartość 2611 lub 2711 dla parametru -m:

      “2611 | vBulletin v3.8.5 | Forums, CMS, E-Commerce, Frameworks”.

    • No tak, w końcu forum Ubuntu jechało na gotowcu a oni tam sobie za bardzo nie radzą z utwardzaniem czegokolwiek, więc wszystko to na luzie zadziała. ;-;
      Oj jak dobrze, że nie mam tam nawet konta.