Włamanie na wiki.debian.org

Nieznani sprawcy dokonali udanego włamania na wiki Debiana, wykorzystując błąd w oprogramowaniu MoinMoin. W jego wyniku zainstalowano na serwerze backdoora oraz skradziono m.in. bazę adresów e-mail i skrótów haseł użytkowników wiki. Administratorzy systemów Debiana przenieśli już serwis na nowy serwer i wymusili zmianę haseł, a także przeprowadzili analizę powłamaniową starego.

Wykorzystując błąd w MoinMoin włamywacze podmienili jeden z plików oprogramowania, za pomocą którego następnie zainstalowali backdoora i przejrzeli zawartość serwera — historie poleceń, otwarte pliki, nasłuchujące demony, wersja jądra, logi, inne wrażliwe dane. Ponadto skopiowali bazę użytkowników wiki, w tym ich adresy e-mail i skróty haseł.

Zdaniem administratorów Debiana włamywacze szczególnie zainteresowani byli skrótami haseł użytkowników posiadających e-maile w domenach należących do Debiana, Intela, Della, Google'a, Microsoftu, GNU oraz wszelkimi w domenach .gov i .edu. Administratorzy radzą wszystkim użytkownikom wiki zmianę swoich haseł, jeśli wykorzystują oni je w kilku serwisach.

Wiki Debiana natychmiast przeniesiono na nowy serwer. Nowa instalacja MoinMoin została lepiej zabezpieczona — przez wsgi dostęp do zapisu ograniczono jedynie do koniecznych plików. Ponadto zmieniono klucz reCAPTCHA.

Kalendarz incydentu przedstawia się następująco:

  1. 25 lipca 2012 — wykorzystano błąd w MoinMoin na wiki.debian.org,
  2. 18 października 2012 — pierwsze wykorzystanie backdoora,
  3. 28 października 2012 — kradzież bazy adresów e-mail, skrótów haseł i klucza reCAPTCHA,
  4. 9 listopada 2012 — ostatnie wykorzystanie backdoora,
  5. 28 grudnia 2012 — deweloperzy zostali poinformowani o błędzie przez zaprzyjaźnionych ludzi z dyne.org,
  6. 29-30 grudnia 2012 — zaktualizowano pakiet moin w repozytorium Debiana,
  7. 3 stycznia 2013 — upubliczniono informację o błędzie CVE-2012-6081,
  8. 4 stycznia 2013 — poinformowano użytkowników wiki.debian.org o włamaniu i przeniesieniu serwisu oraz zmianie haseł,
  9. 6 stycznia 2013 — opublikowano analizę powłamaniową.

Więcej informacji na temat włamania można znaleźć na wiki Debiana.

Dodany: 08 sty 2013 o 21:42
przez: azhag

OSnews Wykop Blip Flaker Kciuk Śledzik Facebook Identi.ca Twitter del.icio.us Google Bookmarks

Komentarze (RSS):

1  azhag, dodany: 2013-01-08 21:43 #2537
Dzięki remi za przypomnienie!

2  remi, dodany: 2013-01-09 21:22 #2538
To dziwne, ale w dniu 8. stycznia opublikowano kolejny/podobny raport nt. włamania - 'wiki.python.org/'. Atakujący był w stanie uzyskać dostęp jako użytkownik... "moin". Podobnie jak w przypadku Debiana, napastnik miał dostęp do wszystkich danych użytkowników; "The attack also had full access to all MoinMoin user data on all wikis." Jakiś dziwny, ten początek roku...

http://mail.python.org/pipermail/python-announce-list/2013-January/009727.html

3  azhag, dodany: 2013-01-09 22:28 #2539
Ten sam błąd wykorzystany.

4  shevchenko1987, dodany: 2013-01-10 11:02 #2541
Mało udany początek roku ;)

5  Jacekalex, dodany: 2013-01-15 01:54 #2568
"przez wsgi dostęp do zapisu ograniczono jedynie do koniecznych plików. ...."

A do jakich plików był dostęp do zapisu wcześniej?
To nie "mało udany początek roku" tylko potężna wtopa.
Administrator, który daje aplikacji web dostępu do plików większe, niż ta aplikacja wymaga do pracy, prędzej czy później kończy w /dev/null.
:D

6  shevchenko1987, dodany: 2013-01-15 08:21 #2569
Nie chciałem być bardzo złośliwy na początku roku ;)

Dodaj komentarz jako gość lub zaloguj się.


Podpis: