В инфраструктуре проекта Fedora зафиксировано вторжение злоумышленника

Лидер проекта Fedora сообщил детали произошедшего 22 января инцидента, в результате которого злоумышленники смогли проникнуть на некоторые серверы проекта под одним из пользовательских аккаунтов. В сообщении с разбором ситуации утверждается, что параметры доступа были получены вследствие внешней атаки (например, взлом машины разработчика или сниффинг), а серверы инфраструктуры не были взломаны напрямую.

Поверхностная проверка показала, что злоумышленники не вышли за пределы скомпрометированного аккаунта и не воспользовались функциями формирования сборок и обновлений. Тем не менее, мейнтейнерам пакетов рекомендовано регулярно анализировать журналы внесения изменений в пакеты и информировать администрацию (admin at fedoraproject.org) о любой подозрительной активности. Участникам проекта при доступе к инфраструктуре Fedora настоятельно рекомендуется использовать надежные пароли и не применять эти же пароли в других проектах, особенно на web-сайтах, не использующих шифрование.

Проникновение злоумышленника было выявлено после обращения одного из разработчиков, обеспокоенного получением системного письма с уведомлением об изменении параметров аккаунта. Администраторы проекта немедленно приступили к разбору ситуации и выяснили, что действительно под аккаунтом обратившегося пользователя были осуществлены факты входа постороннего лица.

Скомпрометированный аккаунт не входил в группу системных администраторов и команды по подготовке релизов, но обладал следующими привилегиями:

• Возможность входа на серверы fedorapeople.org и pkgs.fedoraproject.org с правами непривилегированного пользователя;
• Доступ к помещению новых пакетов в систему управления исходными текстами Fedora;
• Право на выполнение сборки пакетов и формирования обновления к ним.

В ближайшее время администраторами проекта будет проведён детальный анализ инцидента и выполнен дополнительный аудит безопасности серверов. Из уже проведенных мероприятий отмечается выполнение следующих действий:

• Блокирование скомпрометированного аккаунта;
• Создание снапшотов всех файловых систем на серверах на которых присутствовал взломанный аккаунт;
• Аудит логов SSH, FAS, Git и Koji показал, что злоумышленник сменил SSH-ключ аккаунта и вошел на сервер fedorapeople.org, но не пытался поместить изменения в систему управления исходными текстами Fedora, не входил на сервер pkgs.fedoraproject.org, не генерировал koji-сертификат, не выполнял сборки пакетов и не формировал обновления пакетов (примечание: или умело замел следы, чтобы создать иллюзию неудавшегося взлома).