Эксперты: Сайт wiki.debian.org взломан в результате эксплуатации уязвимости в wiki-движке MoinMoin
Злоумышленникам удалось скомпрометировать базу с email-адресами и хэшами паролей пользователей wiki.
Специалисты по информационной безопасности проекта Debian представили детальный отчет по результатам проверки взлома сайта wiki.debian.org, после того, как администрация ресурса заявила об обнаружении утечки пользовательских данных. Так, в конце прошлой недели руководство ресурса сообщило об обнаружении следов выгрузки базы данных адресов электронной почты и хэшей паролей пользователей. Оказалось, что проникновение злоумышленников в систему стало возможно из-за неустраненной уязвимости в wiki-движке MoinMoin, которую разработчики устранили еще в декабре прошлого года. Устраненная уязвимость позволяла злоумышленникам выполнять свой код на сервере, обслуживающем Wiki.
Обнаружив следы проникновения, администрация сайта инициировала переезд проекта на новый сервер, а также начала программу смены паролей пользователей Wiki.
Согласно результатам исследования старого сервера, киберпреступники не смогли получить административные права для доступа к ресурсу, в результате чего ограничились изучением системы под видом одного из пользователей. Однако, исследователи зафиксировали утечку базы данных, которая стала причиной инициации процесса смены паролей. Эксперты также установили, что для скрытия следов атаки злоумышленники использовали сеть Tor, а для изучения системы был установлен бэкдор с поддержкой web-shell.
Отметим, что почти сразу после публикации результатов исследования сервера, администрация проекта Python, использующего аналогичный движок, сообщила об обнаружении проникновения на ресурс wiki.python.org, которой был взломан за день до выпуска обновлений MoinMoin 1.9.6 с устранением уязвимости.
В ходе атаки на wiki.python.org злоумышленник также не смог получить административный доступ, а пытаясь удалить следы своего присутствия в системе, был обнаружен.
Однако хакеру удалось все же скомпрометировать базу данных с хэшами паролей пользователей ресурсов Python и Jython. Администрация ресурсов незамедлительно инициировала процесс смены паролей, а также предупредила о произошедшем всех пользователей, учетные данные которых могут быть скомпрометированы.Цифровые следы - ваша слабость, и хакеры это знают.