The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Сайт проекта OpenSSL был взломан через уязвимость в гипервизоре хостинг-провайдера

30.12.2013 22:11

Разработчики OpenSSL опубликовали первые данные о результатах разбора причин взлома сайта проекта. Сайт проекта был размещён не на отдельном сервере, а в облачном окружении шведского хостинг-провайдера Indit Hosting AB. Атакующие получили доступ к содержимому окружения через эксплуатацию уязвимости в гипервизоре (см. дополнение).

Какая именно уязвимость была эксплуатирована и в каком гипервизоре не сообщается (провайдером используются VMware ESXi и KVM). Также неизвестно исправлена ли проблема в актуальных выпусках гипервизоров и облачных платформ. Уязвимостей в конфигурации окружения проекта OpenSSL не зафиксировано. Атака не затронула репозитории с кодом, которые были тщательно проверены. Никаких изменений, кроме подмены файла index.html, не выявлено.

Взлом сайта OpenSSL является важным прецедентом, подтвердившим реальность атак через уязвимости в облачных инфраструктурах. Размещая важные проекты в облачных системах, владельцы таких проектов становятся зависимыми от своевременного обновления ПО на стороне облачных провайдеров, а в случае выявления новых уязвимостей в гипервизоре, от наиболее незащищённого окружения на том же физическом сервере. До сих пор опасность такого рода атак носила теоретический характер, но теперь явно продемонстрирована на практике. При этом, как правило, у владельцев виртуальных окружений нет возможности проконтролировать состояние низкоуровневых компонентов инфраструктуры виртуализации, которые являются черным ящиком, и могут включать версии гипервизора, содержащего неисправленные уязвимости.

Дополнение от 3 января: Расследование показало, что атака выполнена через подбор нестойкого пароля у хостинг-провайдера. Получив доступ к консоли гипервизора, злоумышленники получили полный доступ к виртуальной машине проекта OpenSSL. Ничего не было изменено, кроме файла index.html.

  1. Главная ссылка к новости (http://www.openssl.org/news/se...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/38758-openssl
Ключевые слова: openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (60) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, hoopoe (ok), 22:21, 30/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    зачем ломиться в закрытую если стены из фольги :)
    с наступающим :)
     
     
  • 2.7, Аноним (-), 23:11, 30/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так фольга все излучение задерживает. Вот и приходится в дверь.
     
     
  • 3.56, Serge (??), 23:34, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, в дверь не приходится.
    Купи хостинг, обснифай соседей и заходи через фольгу.
    Самого-то себя «рутать» не приходится.
     

  • 1.2, hoopoe (ok), 22:22, 30/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в закрытую дверь, конечно :)
     
  • 1.3, Crazy Alex (ok), 22:35, 30/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    В общем, молодцы ребята, вежливо (и эффективно) указали на проблему.
     
     
  • 2.8, Аноним (-), 23:12, 30/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В общем, молодцы ребята, вежливо (и эффективно) указали на проблему.

    Ну хоть не очередные сракеры с подменой DNS путем звонка прову.

     
     
  • 3.12, chinarulezzz (ok), 23:59, 30/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    через факс, путём спуфинга, емнип. Что в общем тоже классно) Кстати, отчего такое болезненное отношение к "сракерам"? Печальный опыт?
     
     
  • 4.41, www2 (ok), 13:18, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Кстати, отчего такое болезненное отношение к "сракерам"? Печальный опыт?

    Просто это дешёвые понты, имеющие больше отношения не к хакерству, а к заурядному мошенничеству. У нас в России много таких "хакеров" бабулек обзавнивают, предлагают им чудо-средство от всех болезней. Их что, всех в хакеры запишем?

     
     
  • 5.44, chinarulezzz (ok), 14:12, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, незнаю зачем ты сравнил мошенников обманывающих бабушек (кстати недавно видел ваши новости, поймали ОПГ) и хакеров, находящих ахиллесовы пяты различными способами в технологиях. Может для какой-то эмоциональной окраски, чтоль, или у тебя есть собственное понимание хакеров. Для меня, мотивы хакеров, и мотивы мошенников обманывающих бабушек на деньги - принципиально разные, даже если их действия похожи.
     
  • 5.47, Аноним (-), 16:46, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, "социальной инженерией" не брезговал и сам Кевин Митник, великий и ужасный.
     
     
  • 6.63, Аноним (-), 23:03, 05/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > не брезговал и сам Кевин Митник, великий и ужасный.

    Я бы даже сказал, что в основном именно этим он и занимался. Хаканьем секретарш и саппорта кабельных провайдеров.

     
  • 5.59, arisu (ok), 06:30, 01/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Просто это дешёвые понты, имеющие больше отношения не к хакерству

    вообще-то social engineering — это как раз самый что ни на есть классический хакинг. поменьше читай говнотекстов говножурнашлюх про «ботанов в очках».

     
  • 4.55, Аноним (-), 23:20, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, отчего такое болезненное отношение к "сракерам"? Печальный опыт?

    От того что собственно в техническом плане это обычный сракинг, ничего интересного. С таким же успехом Пупкин кинувший кирпич из окна и сваливший все на соседа - "хакер".

     
     
  • 5.57, chinarulezzz (ok), 00:55, 01/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Кстати, отчего такое болезненное отношение к "сракерам"? Печальный опыт?
    > От того что собственно в техническом плане это обычный сракинг, ничего интересного.
    > С таким же успехом Пупкин кинувший кирпич из окна и сваливший
    > все на соседа - "хакер".

    задраить порты, хакеры в треде.

     
  • 5.60, arisu (ok), 06:32, 01/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > С таким же успехом Пупкин кинувший кирпич из окна и сваливший
    > все на соседа — «хакер».

    вот только в данном случае Пупкин позвонил соседу и убедил, что надо срочно бежать из квартиры, времени закрывать дверь нет, и вообще — все уже убежали. сосед повёлся, Пупкин забрал себе новую плазму. ты не поверишь, но это таки хак, а не кряк. а вот если бы Пупкин ломиком взломал двери, пробил соседу башку и забрал плазму — это был бы кряк.

     
  • 3.13, Crazy Alex (ok), 00:41, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вообще-то те тоже полезны - нехай провайдеры шевелятся  и головой думают, когда свои полиси пишут. Собственно, неполезны только те, кто реальный вред наносит. А разнообразные шутники - на пользу
     

  • 1.4, ip1981 (ok), 22:46, 30/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот, а вы "PHP, PHP..."
     
     
  • 2.9, klalafuda (?), 23:22, 30/12/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну вот, а вы "PHP, PHP..."

    Так гипервизор же поди на нем самом и был. Вот и результат.

     
     
  • 3.11, vitalif (ok), 23:58, 30/12/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    гипервизор на пхп это мощно...
     
     
  • 4.16, Аноним (-), 01:53, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Это юниксвейно же. Прозрачно и открыто для модификации - не нужно пересобирать каждый раз после правки сорцов. В общем, мечта любого труЪ-юниксоида.
     
     
  • 5.17, ананим (?), 02:00, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нда, вантузятники деградируют в геометрической прогрессии.
    Раньше Трухин'ы хоть признаки зачатка интеллекта показывали.
     
     
  • 6.35, тоже Аноним (ok), 12:33, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Как вы смеете использовать торговую марку Трухин(тм) без упоминания владельца?
    Вы, однозначно, пират!
     
     
  • 7.37, ананим (?), 12:40, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Подайте в суд, клеветник. :D
     
  • 3.42, www2 (ok), 13:31, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну вот, а вы "PHP, PHP..."
    > Так гипервизор же поди на нем самом и был. Вот и результат.

    Шутки шутками, а мне не очень приятно, что инструменты для управления Xen'ом написаны на Python'е. Понимаю, что это быстрее, проще и безопаснее, чем написать всё то же самое на чистом Си, но в свете этого шутки про PHP в гипервизоре уже не выглядят столь смешными.

     
     
  • 4.52, ананим (?), 20:05, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Глупости же пишите.
    Если у вас есть доступ к средствам управления, то и ломать вам ничего не надо уже.

    Зыж
    Информация к размышлению — а вот если вы хоститесь у кого-то, то стоит ли шифровать раздел в своей виртуалке...

     

  • 1.5, piteri (ok), 22:59, 30/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Какая именно уязвимость была эксплуатирована и в каком гипервизоре не сообщается

    Вариантов всего 2.

    >På servrarna finns VMware ESXi eller kvm, bland de ledande programvarorna för virtualisering installerat som gör att flera operativsystem och applikationer kan köras i en och samma miljö

     
     
  • 2.6, Аноним (-), 23:09, 30/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не все тут знают шведский так прекрасно, как Вы, сударь, но все же я помогу людям: "на серверах используются либо VMware ESXi, либо kvm".

    Правда, это "либо" как-то смущает немного.

     
     
  • 3.15, XoRe (ok), 01:05, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не все тут знают шведский так прекрасно, как Вы, сударь, но все
    > же я помогу людям: "на серверах используются либо VMware ESXi, либо
    > kvm".

    http://goo.gl/dyA5nh

     

  • 1.10, metallica (ok), 23:27, 30/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    nmap выдал Running (JUST GUESSING): Linux 2.6.X (88%)
    OS fingerprint not ideal because: Host distance (9 network hops) is greater than five
    Aggressive OS guesses: Linux 2.6.30 (88%), Linux 2.6.18 (85%), Linux 2.6.9 - 2.6.18 (85%), Linux 2.6.9 (85%), Linux 2.6.22.1-32.fc6 (x86, SMP) (85%)
     
     
  • 2.14, Аноним (-), 00:54, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    выдал для чего? для сайта оупенссл или ты сканишь гипервизор их?
     
     
  • 3.21, Аноним (-), 02:10, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    localhost же
     
  • 3.24, pavlinux (ok), 02:55, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Внизапна, - хост работает в виртуалке, которая живет под гипервизором, со своми дравами.
    А ВмВаревый vmxnet3 имеет довольно специфичные фингерпринты, равно как и virtio-net.

    Только вот у посанчика какие-то слабые результаты.    

     
     
  • 4.27, Аноним (-), 07:14, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И какую специфику в ethernet-фреймах сетевухи ты собрался находить, находясь в десятке хопов от хоста?
     
     
  • 5.40, metallica (ok), 13:02, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Причём тут ethernet фреймы? nmap OC определяет исследуя  tcp/ip стек. И вполне точно скажу Вам, проверял. Если он не справляется, то так и отвечает.
     
     
  • 6.49, Аноним (-), 18:01, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Причём тут ethernet фреймы? nmap OC определяет исследуя  tcp/ip стек

    Притом, что речь идет про определение модели сетевой карты по отпечаткам в глобальной сети, что, якобы, умеет делать павлин.

     
     
  • 7.54, metallica (ok), 21:41, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Запутался в Анонимах и павлинах, кто есть кто, и кто что имел ввиду о
    выявлении ОС по заголовкам канального уровня.
     
  • 6.62, Аноним (-), 08:36, 01/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Причём тут ethernet фреймы? nmap OC определяет исследуя  tcp/ip стек. И
    > вполне точно скажу Вам, проверял. Если он не справляется, то так
    > и отвечает.

    Вас удивляет 2.6 вместо 3.* ?

     
  • 5.46, pavlinux (ok), 15:18, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > И какую специфику в ethernet-фреймах сетевухи ты собрался находить, находясь в десятке
    > хопов от хоста?

    много писать, ломает.

     
  • 4.61, Аноним (-), 08:34, 01/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И какие такие хитрые фингерпринты на 3м уровне (это голый IPv4 и выше, да) имеет драйвер сетевой карты? Особым образом накидывает длину пакету или там последовательность какую нестандартную выстраивает?
     
  • 2.19, Нанобот (ok), 02:08, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вау! умеешь nmap запускать? ну ты ваще нириальна классный пассан!
     

  • 1.18, Анонище (?), 02:07, 31/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Где там любители виртуализации, облаков и прочей хрени?
     
     
  • 2.20, Нанобот (ok), 02:09, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Где там любители виртуализации, облаков и прочей хрени?

    я за них. есть поговорка: волков бояться - в лес не ходить.

     
     
  • 3.30, Адекват (ok), 09:17, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > я за них. есть поговорка: волков бояться - в лес не ходить.

    И волки сыты, и дебилов все меньше и меньше - красота :)


     

  • 1.22, Аноним (-), 02:15, 31/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >VMware ESXi и KVM

    Значит хост, скорее всего, шапка. Круто, чо. Ынтырпрайзненько. Ждем семерочку с сисьтемды, заготавливаем попкорн.

     
     
  • 2.23, ананим (?), 02:20, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего наоборот. Был бы kvm, сообщили бы.
     
     
  • 3.26, Аноним (-), 06:23, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Раз не сообщили, значит Hyper-V.

    А "или" в новости поставили, чтобы иск и обструкцию от сообщества не снискать.

    Все продумано. С новым годом.

     
     
  • 4.51, ананим (?), 19:58, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, может и так.
    >Microsoft reserves the right to discontinue any Internet-based services provided to you or made available to you through the use of the Software.

    Микрософт (а за ней и другие проприетарщики) отзовёт лицензию без объяснения и всего делов.
    "До выяснения".
    Чего в опенсорсе, и в квм в частности, не наблюдается. Процесс всех аспектов разработки открыт.

    Зыж
    Тем более что порой, чтобы установить причины, нужен реверсинжиниринг (а это отдельный пункт еула).Что вообще смерть.
    Очевидно, что атакующему уже пофиг, а атакуемому ещё нет.

    С новым годом. Мудрости вам в наступающем.

     
     
  • 5.53, ананим (?), 20:14, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ззыж
    Именно этим "механизмом" они "соберают" подобную инфу у "себя", а не развешивают по "интернетам".

    Зззззззззззыж
    Если вы "раскрыли" секрет новой "бомбы", то это не значит что за вами не "придут".

     
  • 2.28, Аноним (-), 07:16, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >>VMware ESXi и KVM
    > Значит хост, скорее всего, шапка. Круто, чо. Ынтырпрайзненько. Ждем семерочку с сисьтемды,
    > заготавливаем попкорн.

    Где ты шапку увидел?

     
     
  • 3.29, Аноним (-), 08:07, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Тсс, не ломай кайф верным дворовым коричневого козмонота, хоть в фантазиях порадуются.
     
     
  • 4.34, Аноним (-), 10:27, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    У них еще потенциально дырявая cPanel висит https://webhosting.indithosting.se:2083/ Может, на самом деле через нее и сломали?
     
  • 2.36, pkdr (ok), 12:40, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Значит хост, скорее всего, шапка. Круто, чо. Ынтырпрайзненько. Ждем семерочку с сисьтемды, заготавливаем попкорн.

    А как вы определили, что это тот хост, на котором крутится виртуальный сервер проекта openssl?

     

  • 1.33, Аноним (-), 10:22, 31/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вообще, сеть доступный [простым смертным] инструмент (типа nmap) для определения типа гипервизора?
     
     
  • 2.38, pkdr (ok), 12:44, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Есть. Называется "социальная инженерия". Например, можно найти админов того шведского провайдера и напоить, чтобы языки развязались, ну а потом позадавать правильные вопросы.

    А есть вообще простой способ - купить в том облаке виртуальный сервер и надеяться, что он будет работать на хосте с таким же ПО, как и тот, на котором крутится сайт openssl.

     
     
  • 3.45, Аноним (-), 14:33, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это гораздо проще, чем кажется.

    sitecheck.sucuri.net Вбиваем www.indithosting.se Смотрим раздел List of links found Последняя ссылка skype:mikaelkrantz?call Вбиваем в поиск Google Первая ссылка http://se.linkedin.com/in/indithosting Готовь пиво

     
  • 2.50, Аноним (-), 18:03, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А вообще, сеть доступный [простым смертным] инструмент (типа nmap) для определения типа
    > гипервизора?

    http://people.redhat.com/~rjones/virt-what/

     

  • 1.39, Аноним (-), 12:52, 31/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прикольно написано: Какая именно уязвимость была эксплуатирована и в каком гипервизоре не сообщается (провайдером используются VMware ESXi и KVM).
     
  • 1.43, Аноним (-), 13:43, 31/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > в каком гипервизоре не сообщается (провайдером используются VMware ESXi и KVM)

    Обитатели опеннета уже знают в каком ))
    В новости специально путаются понятия облачной платформы и гипервизора? Вероятнее таки взлом облачной платформы, о которой конкретно ничего не сказано.

     
     
  • 2.48, Аноним (-), 17:21, 31/12/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Azure на 2012-м. Потому и не сказали. :)))))
     

  • 1.58, arisu (ok), 06:28, 01/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сенсация! бумажную стену можно проткнуть вилкой!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру