Mellékleteink: HUP | Gamekapocs
Keres

Betörtek a kernel.org-ra

Gálffy Csaba, 2011. szeptember 02. 17:04
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Ismeretlen támadók mintegy két hétig rendelkeztek root jogosultsággal a kernel.org-ot kiszolgáló egyik backend szerveren. A Linux kernelje azonban biztonságban, a hash-elt fájlokban nem találtak módosítást.

Támadók hatoltak be a Linux kernel fejlesztői oldalára augusztusban. A kernel.org közleménye szerint a behatolók sikerrel szereztek root jogosultságot az oldal legalább egy back-end szerverén és azon automatikusan elinduló rosszindulatú alkalmazást helyeztek el.

Nagy ijedtség

A közlemény szerint a kernel.org mögött álló kiszolgálók egyikét, a Hera nevezetű gépet sikerült feltörniük a tetteseknek és átvenniük felette a korlátlan irányítást. A kernel.org azt sejti, a behatolásra úgy kerülhetett sor, hogy a támadók megszerezték valamelyik adminisztrátor adatait - az, hogy ezt hogyan sikerült root jogosultsággá eszkalálniuk, egyelőre kérdéses.

A Linux-közösséget valószínűleg semmilyen kár nem érte, a kernel.org által használt git rendszer ugyanis az összes, a Linux kernellel kapcsolatos fájl esetében SHA-1 alapú hash-t számol, amely biztonságos és egyszerű tájékoztatást ad arról, ha a támadók valamit módosítottak a szervereken. A hash-ek összehasonlításával ugyanis a legkisebb, akár bitszintű módosítás is kiszűrhető, a hash-algoritmus pedig teljesen biztonságos. Ennek megfelelően szinte teljes bizonyossággal állítható, hogy a Linux kernelt támadás nem érte, idegen kód nem került bele.

Sokáig tartott

Az incidenst amúgy a felhasználók jelezték az oldal adminisztrátorai felé, az oldal ugyanis Xnest hibákat jelzett, miközben a szerverekre az adott alkalmazás nem volt telepítve. Az ezt követő nyomozás során találtak rá arra, hogy az SSH-alkalmazást módosították, illetve a kiszolgálóra egy, backdoor trójait telepítettek. A rendszernaplók szerint a támadás augusztus 12-én zajlott le, a kiszolgáló ettől az időponttól augusztus 28-ig állt idegenek irányítása alatt.

Az, hogy a támadás lyen sokáig észrevétlen maradhatott, komoly presztízsveszteség az oldal adminisztrátorainak, egyes források szerint ugyanis a támadást még a chkrootkit eszköz is pillanatok alatt kimutatta volna. A támadás az Androidot is érintette, mivel Android Open Source Project git szerverei is a kernel.org-nál vannak. A kiszolgálókat a Google kérésére ideiglenesen leállították, és bár eredetileg tegnapra tervezték a visszakapcsolást, az oldal a cikkünk írásának pillanatában sem érhető el.

Csak óvatosan

A támadás után óvintézkedésként az oldal mögött álló összes kiszolgálót lekapcsolták, tartalmukról backup készül és mindegyikre új telepítésű rendszer kerül - ezzel a szerverek újra biztonságossá válnak. A tartalom elemzésére ezután kerül sor, abból várhatóan kiderül majd a támadás pontos menete és az, hogy milyen sebezhetőséget használtak ki a támadók a felhasználói jogosultság root szintre emeléséhez. Azt már sikerült megállapítani, hogy a jogosultságemelés a kernel legújabb, 3.1-rc2-es változatában nem működik, bár ez következhet a rosszindulatú kód tervezett működéséből is.

A kernel.org bejelentése szerint az oldalt és biztonsági házirendjeit szigorú auditnak vetik alá, azonban biztosak abban, hogy a kernel fejlesztését lehetővé tevő rendszerek, köztük a git biztonsága egyelőre kikezdhetetlen, és nem teszi lehetővé, hogy ezek a támadások valós kárt okozzanak. Az oldal 448 felhasználójának felhasználói nevét és jelszavát most lecserélik, az SSH-kulcsaikkal együtt, az oldal működése ezzel helyreáll.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.