Kernel.org-servers worden gehackt

Alejandro (a.k.a KZKG^Gaara)

2 minuten

Blijkbaar een onbepaald aantal servers die worden gehost kernel.org ze zijn geweest geschonden en veiligheid het werd gezien aangetast. Dit zou zijn overkomen begin augustus, hoewel pas op de 28e de sitebeheerders het beseften.

Wat is er gebeurd?

  • Indringers hebben toegang gekregen tot de Hera-server met beheerdersrechten. Kernel.org-beheerders vermoeden dat dit mogelijk was nadat sommige gebruikersreferenties waren gecompromitteerd; hoe ze hiervan gebruik konden maken om beheerdersrechten te krijgen, is nog onbekend en wordt onderzocht.
  • De bestanden behorende bij ssh (openssh, openssh-server en openssh-clients) werden gewijzigd en live uitgevoerd.
  • Er is een Trojaans paard toegevoegd aan de opstarttoepassingen van het systeem (van kernel.org-servers… Nee, niet op uw computer! Geen paniek!).
  • Alle gebruikersinteracties en een deel van de schadelijke code werden bijgehouden. Voorlopig hebben de beheerders deze informatie bewaard.
  • De Toryan die oorspronkelijk werd ontdekt door een Xnest / dev / mem-foutmelding zonder dat Xnest was geïnstalleerd, is ook op andere systemen gezien. Het is nog niet duidelijk of de systemen met dit bericht gecompromitteerd zijn of niet.
  • Blijkbaar lijkt de 3.1-rc2-kernel de kwaadaardige code op de een of andere manier te hebben geblokkeerd. Het is nog niet bekend of dit opzettelijk is of een bijwerking van een andere verandering.

Wat wordt er gedaan om de aangerichte schade te beheersen?

  • Verschillende servers zijn losgekoppeld om back-ups te maken en het systeem opnieuw te installeren.
  • Autoriteiten in de Verenigde Staten en Europa zijn op de hoogte gebracht om te helpen bij het onderzoek.
  • Het systeem wordt volledig opnieuw geïnstalleerd op ALLE kernel.org-servers.
  • Een analyse van de code die naar git is geüpload, evenals de tarballs, zal beginnen om te bevestigen dat er niets is gewijzigd.

Slaap rustig, mijn vrienden

Jonathan Corbet, van de Linux Foundation, heeft een notitie geschreven over de gebeurtenis die, hoewel ernstig, geen paniek of massahysterie mag veroorzaken, aangezien ze over de nodige tools beschikken om terug te keren naar de normaliteit en elke ongeautoriseerde wijziging te lokaliseren:

De aflevering is verontrustend en beschamend. Maar ik kan zeggen dat je je geen zorgen hoeft te maken over de integriteit van de kernelbroncode of andere software die op kernel.org-systemen wordt gehost.

Daarom moeten we kalm zijn, want na detectie zal alles weer normaal worden. Natuurlijk kan niemand het wegnemen van de schrik en het is natuurlijk een klap geweest voor de projectmanagers die waarschijnlijk tijd zullen besteden aan het verbeteren van de beveiliging van hun systemen.

bron: Kernel.org & Alt1040