Canonical опубликовала отчет о взломе форума Ubuntu

Компания Canonical опубликовала отчет с подробностями о недавней хакерской атаке на форумы Ubuntu, в результате которой злоумышленники получили контроль над учетными данными 1.8 млн пользователей.

«14 июля 2013 года злоумышленнику удалось получить доступ к учетной записи одного из модераторов форума. У этого модератора было право размещать на форуме анонсы, которые могут содержать HTML-код», - говорится в отчете.

Мошенник разместил на форуме анонс с вредоносной JavaScript-вставкой, после чего разослал личные сообщения трем администраторам форума, сообщив о якобы серверной ошибке на странице анонсов. Один из администраторов решил проверить страницу анонсов, не обнаружил ничего подозрительного и ответил фальшивому модератору личным сообщением. Впоследствии злоумышленник залогинился под именем администратора, получив полный доступ к окружению vBulletin.

Как удалось установить Canonical, при помощи размещенного мошенниками анонса они осуществили XSS-атаку и могли перехватывать куки всех посетителей.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило запускать любые команды на сервере с правами пользователя "www-data". Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

Для предотвращения совершения атак в будущем, компания Canonical провела аудит организации работы форума и изменила настройки в пользу максимальной безопасности и изоляции (например, запрещена установка обработчиков в панель управления и запрещена вставка HTML в анонсы, для модераторов и администраторов введено обязательное использование HTTPS, движок форума ограничен средствами AppArmor). Для блокирования возможных закладок, форум и система были переустановлены, а база сообщений перестроена. Для аутентификации в форуме задействован централизованный сервис Ubuntu Single Sign On. Так как для хэширования использовался устаревший алгоритм MD5 (с солью), все ранее действующие пароли пользователей были сброшены, а вместо них сгенерированы новые случайные пароли, инструкция по использованию которых была разослана пользователям по электронной почте.