Взломщик Debian использовал новый эксплойт?

Похоже, что недавний взлом серверов Debian.org был осуществлен с применением неизвестного пока секьюрити-эксплойта, утверждает системный администратор проекта Debian.

Похоже, что недавний взлом серверов Debian.org был осуществлен с применением неизвестного пока секьюрити-эксплойта, утверждает системный администратор проекта Debian.

Предварительное расследования взлома защиты, произошедшего 19 ноября, показывает, что у атакующего была возможность получить полный контроль над серверами Debian в результате входа в систему через непривилегированные учетные записи — так называемая эскалация привилегий, сообщает член команды, управляющей распространением Debian, Джеймс Троуп.

«Я уверен в существовании еще неизвестного эксплойта для получения root привилегий, — пишет Троуп в списке рассылки Debian за пятницу. — Где-то гуляет неизвестный local root эксплоит».

Эксплойт был применен к ПО Debian, установленному на Intel-совместимой аппаратуре, тогда как система на основе серверов Sun не пострадала. Это дает основание предположить, что на ПО Sun действие эксплойта не распространяется.

Сначала атакующий вошел в систему через непривилегированный вход на сервере klecker.debian.org с применением краденого пароля, а затем получил полный доступ администратора — или root — и установил хакерский инструмент Suckit. Аналогичный подход использовался и на нескольких других серверах.

На всех взломанных серверах стояли свежие версии ядра Linux и были установлены почти все секьюрити-апдейты, что служит аргументом в пользу применения атакующим неизвестного и не устраненного пробела в защите. Администраторы обнаружили вторжение благодаря ошибке в программе Suckit, которая вызвала аномалии в поведении ядра ОС каждой взломанной машины, рассказывает Троуп.

Так как точно пока не известно, каким образом атакующий смог получить контроль над серверами Debian, команде управления проектом пришлось заблокировать все учетные записи пользователей, и они до сих пор недоступны. «Раз мы засекли взломанные входы и сниферы, то вынуждены были предположить, что взломано неопределенное число входов», — пишет Троуп.

По его словам, администраторы восстанавливают машины Debian одну за другой, пытаясь определить, как именно атакующему удалось повысить привилегии. «Конечно, мы намерены укрепить защиту наших серверов и ужесточить процедуры, чтобы такое больше не повторилось».

За информацией о защите Debian-систем в свете взлома Троуп рекомендует обращаться на сайт для разработчиков wiggy.net.

Источник: Zdnet


или введите имя

CAPTCHA