Пользователям Linux, являющимся завсегдатаями форумов разработчиков Ubuntu, следовало бы в ближайшее время сменить пароли в свете новостей о возможном взломе форумов и утечке 2 млн паролей.

Джейн Силбер (Jane Silber), глава ответственной за взломанные ресурсы компании Canonical, в пятницу признала наличие публичной SQL-уязвимости в Forumrunner, модуле движка форумов Ubuntu.

Хотя Силбер утверждает, что в результате утечки активные пароли скомпрометированы не были, пользователям стоит изменить пароли в целях безопасности.

Прорвавшись за периметр, неизвестные хакеры осуществили SQL-инъекцию в базы данных форума, что дало им доступ к любым данным в таблицах. Как уточнила Силбер, внимание хакеров привлекла только таблица “user”, содержащая логины, пароли и IP-адреса 2 млн пользователей. Злоумышленники скачали содержимое таблицы по частям, сообщила Силбер, оговорившись, что скомпрометированные пароли были старыми, а также были хэшированы и “посолены” при помощи метода случайных строк, что существенно усложняет расшифровку.

По словам Силбер, в Ubuntu уверены, что хакеры не смогли получить доступ к коду ОС, механизму обновлений или валидным паролям.

При этом Силбер не может стопроцентно опровергнуть (хотя и не верит в возможность подобного исхода) вероятность повышения привилегий удаленного чтения SQL и получения прав на удаленную запись SQL, а также shell-доступ к базам данных, серверам форумов и другим сервисам Canonical или Ubuntu.

В Canonical начали расследовать инцидент в прошлый четверг, когда член совета форумов Ubuntu сообщил ИБ-команде о том, что неизвестный утверждал о наличии у него базы данных. Работа сайта была приостановлена на время проверки, в ходе которой специалисты подтвердили факт утечки.

Силбер утверждает, что Ubuntu сняла резервные копии данных со всех серверов с движком vBulletin, обеспечивающим работу форума, а затем “полностью удалила с них данные и восстановила резервные копии с нуля”. Также платформа была полностью пропатчена, а средства мониторинга работы ПО — усовершенствованы.

Кроме того, были сброшены все пароли и установлен модуль ModSecurity — файрвол для веб-приложений на базе открытого исходного кода.

Это вторая крупная утечка с форумов Ubuntu за последние пару лет. Почти три года назад хакеры эксплуатировали XSS-уязвимость и похитили логины, пароли и email-адреса 1,8 млн форумчан. Как и в этот раз, компания тогда заверила, что информация зашифрована при помощи алгоритма MD5, а каждый пароль “посолен”.

vBulletin, популярная программа для форумов, неоднократно становилась целью хакеров. Последние воспользовались 0-day в нескольких версиях платформы несколько лет назад и скомпрометировали форумы MacRumors.com и vBulletin. Масштаб атаки на MacRumors был намного меньше, чем в случае с Ubuntu: тогда злоумышленники заполучили лишь 860 тыс. зашифрованных паролей.

Также атаке подверглась компания VerticalScope, которая разрабатывает и осуществляет управление онлайн-сообществами и форумами. Хакеры похитили 40 млн учетных записей, воспользовавшись уязвимостью в устаревшей версии vBulletin.

Категории: Уязвимости, Хакеры