Włamano się po raz kolejny na forum Ubuntu

Włamano się po raz kolejny na forum Ubuntu

    przez -
    4 799
    Canonical Ubuntu
    Canonical poinformowało o włamaniu na ich oficjalne forum Ubuntu. Jest to już drugi taki przypadek w historii przedsiębiorstwa. Pierwszy miał miejsce dokładnie 3 lata temu, a prawdopodobną przyczyną złamania zabezpieczeń była przestarzała wersja skryptu forum vBiulletin, która nie posiadała ochrony panelu admina. Tym razem jednak włamywacze wykorzystali metodę SQL injection, a dokładniej lukę w dodatku Forumrunner. Udało się pozyskać loginy i adresy email ponad 2 milionów użytkowników. Na szczęście hasła pozostały bezpieczne, dzięki usłudze Ubuntu Single Sign On.

    Skala jest zatem ogromna, ale co najciekawsze administratorzy nic by nie wiedzieli o luce, gdyby ktoś nie zaczął się chwalić posiadaniem takowej bazy.

    Oczywiście poczyniono już odpowiednie kroki zabezpieczające:

    • Wykonano kopię zapasową forum i zainstalowano wszystko od zera
    • Zaktualizowano vBiulletin do najnowszej wersji
    • Zresetowano wszystkie hasła oraz systemy
    • Zainstalowano ModSecurity oraz zaporę sieciową
    • Poprawiono monitoring, szczególnie przy dodawaniu nowych łatek

    Administratorzy podkreślają, że repozytoria oraz inne usługi są całkowicie bezpieczne.

    • Wykonano kopię zapasową forum… napastnicy pewnie też wykonali “kopię zapasową” i bazy danych z zahashowanymi hasłami… :D

      • A na co im hashe haseł? Przecież jeśli do hashowania użyto soli (nie uwierzę, że było inaczej) to same hashe są bezużyteczne.

      • W 100% się mylisz bo mając kopię bazy danych tego forum, posiadają przecież dostęp do soli. Sól przecież przechowywana jest dla każdego użytkownika również w bazie danych. Skąd wiedzieć gdzie dokleić sól? To też bardzo proste. Wystarczy dokonać detekcji oprogramowania forum. Jest do tego oczywiście oprogramowanie, ale nie trzeba się trudzić bo już w stopce widać że to jest vBulletin. Informacje na temat budowy hasha z solą znajdzie się bez problemu w sieci, ewentualnie można dokonać inżynierii odwrotnej w prosty sposób analizując kod źródłowy oprogramowania forum.

        Jednak wszystkie lepsze, znane programy do łamania hashy mają już zaimplementowaną metodę łamania danego hasha. W przypadku programu hashcat (olchashcat na Windows) jest to wartość 2611 lub 2711 dla parametru -m:

        “2611 | vBulletin v3.8.5 | Forums, CMS, E-Commerce, Frameworks”.

      • No tak, w końcu forum Ubuntu jechało na gotowcu a oni tam sobie za bardzo nie radzą z utwardzaniem czegokolwiek, więc wszystko to na luzie zadziała. ;-;
        Oj jak dobrze, że nie mam tam nawet konta.