Les serveurs de Kernel.org sont piratés

Alejandro (a.k.a KZKG^Gaara)

Minutes 2

Apparemment, un nombre indéterminé de serveurs d'hébergement kernel.org ont été violé et leur sécurité c'était vu compromis. Cela serait arrivé à début août, même si ce n'est que le 28 que les administrateurs du site s'en sont rendu compte.

Qu'est-ce qui s'est passé?

  • Les intrus ont accédé au serveur Hera avec des privilèges d'administrateur. Les administrateurs de Kernel.org soupçonnent que cela était possible après la compromission des informations d'identification d'un utilisateur; comment ils ont pu en profiter pour obtenir des privilèges d'administrateur n'est pas encore connu et fait l'objet d'une enquête.
  • Les fichiers appartenant à ssh (openssh, openssh-server et openssh-clients) ont été modifiés et exécutés en direct.
  • Un cheval de Troie a été ajouté aux applications de démarrage du système (à partir des serveurs kernel.org… Non, pas sur votre machine! Pas de panique!).
  • Toutes les interactions des utilisateurs ainsi qu'une partie du code malveillant ont été suivies. Pour le moment, les administrateurs ont sauvegardé ces informations.
  • Le Toryan découvert à l'origine par un message d'erreur Xnest / dev / mem sans avoir installé Xnest a également été vu sur d'autres systèmes. Il n'est pas encore clair si les systèmes affichant ce message sont compromis ou non.
  • Apparemment, le noyau 3.1-rc2 semble avoir bloqué le code malveillant d'une manière ou d'une autre. On ne sait pas encore si cela est intentionnel ou un effet secondaire d'un autre changement.

Que fait-on pour contrôler les dommages causés?

  • Plusieurs serveurs ont été déconnectés pour effectuer des sauvegardes et réinstaller le système à nouveau.
  • Les autorités des États-Unis et d'Europe ont été invitées à participer à l'enquête.
  • Le système sera complètement réinstallé sur TOUS les serveurs kernel.org.
  • Une analyse du code téléchargé sur git, ainsi que des archives tar, commencera à confirmer que rien n'a été modifié.

Dors paisiblement mes amis

Jonathan Corbet, de la Linux Foundation, a écrit une note évoquant l'événement qui, bien que grave, ne devrait pas générer de panique ou d'hystérie de masse car ils disposent des outils nécessaires pour revenir à la normalité et localiser toute modification non autorisée:

L'épisode est inquiétant et embarrassant. Mais je peux dire qu'il n'y a pas lieu de s'inquiéter de l'intégrité du code source du noyau ou de tout autre logiciel hébergé sur les systèmes kernel.org.

Il faut donc rester calme car, après détection, tout reviendra à la normale. Bien sûr, personne ne peut l'enlever de la peur et, bien sûr, cela a été un coup dur pour les chefs de projet qui, probablement, passeront du temps à améliorer la sécurité de leurs systèmes.

source: Kernel.org & Alt1040