Взломан официальный форум проекта Ubuntu

15.07.2016 20:02

Компания Canonical сообщила о взломе официального форума дистрибутива Ubuntu - ubuntuforums.org. В результате инцидента атакующие смогли получить доступ к СУБД и выполнить произвольные SQL-запросы к БД форума. 14 июля в компанию Canonical поступило уведомление от участников форума о том, что один из пользователей небездоказательно заявил о наличии копии БД сайта. Проверка подтвердила, что имела место утечка данных.

Атака была совершена через неисправленную уязвимость в вовремя необновлённом дополнении Forumrunner к используемому на форуме движку vBulletin. Уязвимость позволяла выполнить произвольный SQL-код, чем и воспользовался атакующий для загрузки содержимого таблиц с параметрами пользователей и логами, включающими IP-адреса участников обсуждений. Всего утечка затронула персональные данные примерно 2 млн пользователей форума.

Примечательно, что ровно три года назад, 14 июля 2013 года произошёл аналогичный инцидент, в результате которого злоумышленники воспользовались уязвимостью в форумном движке vBulletin для загрузки базы пользователей. В процессе восстановления прошлого взлома, разработчики перевели форум на использование централизованной аутентификации через сервис Ubuntu Single Sign On, поэтому при нынешнем взломе атакующие смогли добраться только до таблицы с такими параметрами как имя и email, не содержащей реальные хэши паролей (в таблице вместо хэшей от паролей были сохранены хэши от случайных строк).

В настоящее время работа форума восстановлена из резервной копии, уязвимость устранена и предприняты меры по увеличению безопасности. В частности, для блокирования возможных атак установлен модуль ModSecurity. Также организовано отслеживание своевременной установки исправлений к vBulletin.

Отмечается, что администраторы форума уверены в том, что атакующие не смогли получить доступ к репозиториям Ubuntu, механизму обновлений и реальным паролям пользователей. С меньшей долей уверенности (в заявлении использована формулировка "мы полагаем") заявлено о том, что атака ограничилась чтением данных из СУБД и не затронула другие сервисы Canonical и Ubuntu, а атакующие не модифицировали данные в БД и не получили shell-доступ на серверах с сайтом и СУБД.

исправить +17 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/44793-ubuntu

Ключевые слова: ubuntu

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.1, Аноним (-), 20:10, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Хеши от случайных строк

2.42, demimurych (ok), 20:54, 17/07/2016 [^] [^^] [^^^] [ответить]	+3 +/–
новость не читай - комментарий пиши

1.4, Ursadon (ok), 20:24, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Хых, фортануло ребятам из каноникала! Ожидал, что через основной форум, залезут в какой-нить их древний форум, оттуда вытянут пароли мэйнтейнеров, затем надругаются над системой сборки релизов и выкладут свою версию дистриба. "Улучшенную и дополненную". Попутно уводя пароли электропочты и регистрируясь под ними на ресурсах для ЛГБТ. Но вытащили хэши :\

2.34, iPony (?), 19:14, 16/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Ну так не Mint же...

2.46, hmst (?), 10:03, 26/08/2016 [^] [^^] [^^^] [ответить]	+/–
"Выкладут"

1.5, Аноним (-), 20:27, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+48 +/–
> 14 июля в компанию Canonical поступило уведомление от участников форума о том, что один из пользователей небездоказательно заявил о наличии копии БД сайта. xxx> Напешите IP какова небудь лоха? yyy> 127.0.0.1 xxx> Спасиба xxx> Сча оно падохнет xxx вышел из чата

1.6, Дуплик (ok), 21:00, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+26 +/–
Дали OpenSource-форумные движки. Дали им исходники LOR. Нет, не хотим, хотим жрать проприетарное vBulletin / IPB. Горите в аду, в который вы сами и вступили.

2.9, Аноним (-), 21:31, 15/07/2016 [^] [^^] [^^^] [ответить]	+12 +/–
Ну лицемеры обыкновенные. Продвигать СПО и юзать проприетарщину самим...

2.10, Аноним (-), 21:33, 15/07/2016 [^] [^^] [^^^] [ответить]	–4 +/–
> Maintenance > Down for maintenance kernel.org на каком проприетарном ПО работал? Ой, или уязвимости есть и в попенсорс, и в проприетари?

2.15, th3m3 (ok), 22:09, 15/07/2016 [^] [^^] [^^^] [ответить]	–2 +/–
Это говорит о том, что системные разработчики не шарят в вебе и используют всякий поприетарный ширпотреб на php.

3.30, Аноним (-), 15:20, 16/07/2016 [^] [^^] [^^^] [ответить]	+7 +/–
... потому что не догадываются, что и веб-разработчики тоже не шарят в вебе.

2.35, Аноним (-), 21:52, 16/07/2016 [^] [^^] [^^^] [ответить]	–2 +/–
Опенсорсные разные есть. phpbb еще хуже, клоака примерно уровня ipb. Discourse - хороший.

1.11, Интересующийся (??), 21:34, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вот мне интересно... Вот что им с этого? Зачем? Дурдом.

1.12, Аноним (-), 21:52, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Мда... Какая ещё санитизация запросов? Фигак-фигак - и в продакшен.

1.14, Oleg (??), 22:04, 15/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> в таблице вместо хэшей от паролей были сохранены хэши от случайных строк зачем?

2.20, KnR (ok), 23:45, 15/07/2016 [^] [^^] [^^^] [ответить]	+/–
Зато пароли не утекут

3.21, Аноним (-), 23:56, 15/07/2016 [^] [^^] [^^^] [ответить]	+/–
Наивный планктон!

4.22, KnR (ok), 23:57, 15/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Я очень надеюсь, что сарказм ты уловил.

2.40, Аноним (-), 13:21, 17/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Чтобы хэккеры зря мучали ненастоящие хэши в попытке получить пароли.

1.24, Аноним (-), 04:20, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Вывод - в больших проектах нужно юзать собственные движки, где о багах знаешь только сам.

2.28, Гентушник (ok), 10:19, 16/07/2016 [^] [^^] [^^^] [ответить]	+2 +/–
Security by obscurity.

2.31, омномномнимус (?), 15:33, 16/07/2016 [^] [^^] [^^^] [ответить]	+/–
Следуя твоей логике все встроенные системы должны писаться с нуля, а не подстраивать под свои нужды линукс

2.41, chinarulezzz (ok), 16:52, 17/07/2016 [^] [^^] [^^^] [ответить]	+3 +/–
чревато тем, что и хакеры найдут, и сам не будешь знать.

1.26, Алексей (??), 06:49, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Такие ошибки могут себе позволить форумы с посещаемостью в 5 человек. Если уж здесь такие ляпы, то вопрос о "значимости" сертификации от этой компании встаёт в другом свете. :) А судьи кто?...

1.27, djoe (ok), 08:51, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кто тама бочку катил на Лефевра? Якобы де он лох, у него сайт взломали. Получите, распишитесь..

1.32, Аноним (-), 16:37, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Лицензия Коммерческая Сайт vbulletin.com вотэтожесть, будем знать

1.33, Michael Shigorin (ok), 17:29, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> В частности, для блокирования возможных атак установлен модуль ModSecurity. Они же правда в курсе, что там одной установкой не отделаешься?..

2.38, cmp (ok), 02:53, 17/07/2016 [^] [^^] [^^^] [ответить]	+/–
Не ну, через 3 года еще настроят.

2.39, _Vitaly_ (ok), 04:57, 17/07/2016 [^] [^^] [^^^] [ответить]	+/–
Вобла уже давно безнадежна, с 4 версии, когда ее купили эффективные менеджеры. Стоковый дизайн делали люди с серьезными проблемами. А внутри там совсем понос.

1.36, Anon1 (?), 22:57, 16/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Мой пароль подошёл бы только для сервиса Ubuntu Single Sign On. Пользуйтесь разными паролями для каждого сайта =)

1.43, Онаним (?), 01:44, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кому нужны эти ретроградские форумы в 21-м веке, когда есть askubuntu.com? Хорошо, что хоть не BBS крякнули...

1.44, Аноним (-), 09:44, 18/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> уязвимость устранена и предприняты меры по увеличению безопасности Сколько уже такого было... Твердят о безопасности, а сами же не соблюдают элементарных правил (хотя бы своевременного обновления). Ладно бы 0day уязвимость поюзали. Короче, в каком-то смысле так им и надо. Может в следующий раз не будут наступать на те же грабли.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: