Serwery Kernel.org zostały zhakowane

Alejandro (a.k.a KZKG^Gaara)

2 minut

Najwyraźniej nieokreślona liczba serwerów hostingowych kernel.org oni byli naruszony i bezpieczeństwo to było widoczne zagrożone. To by się stało wczesny sierpień, choć dopiero 28 stycznia zdali sobie z tego sprawę administratorzy serwisu.

Co się stało?

  • Intruzi uzyskali dostęp do serwera Hera z uprawnieniami administratora. Administratorzy Kernel.org podejrzewają, że było to możliwe po przejęciu niektórych danych uwierzytelniających użytkownika; sposób, w jaki mogli to wykorzystać, aby uzyskać uprawnienia administratora, nie jest jeszcze znany i jest badany.
  • Pliki należące do ssh (openssh, openssh-server i openssh-clients) zostały zmodyfikowane i uruchomione na żywo.
  • Trojan został dodany do aplikacji startowych systemu (z serwerów kernel.org… Nie, nie na Twoim komputerze! Nie panikuj!).
  • Śledzono wszystkie interakcje użytkowników, a także część złośliwego kodu. Na razie administratorzy zapisali te informacje.
  • Toryan pierwotnie odkryty przez komunikat o błędzie Xnest / dev / mem bez zainstalowania Xnesta był również widoczny w innych systemach. Nie jest jeszcze jasne, czy systemy wyświetlające ten komunikat są zagrożone, czy nie.
  • Wygląda na to, że jądro 3.1-rc2 w jakiś sposób zablokowało złośliwy kod. Nie wiadomo jeszcze, czy jest to zamierzone, czy efekt uboczny innej zmiany.

Co się robi, aby kontrolować wyrządzone szkody?

  • Kilka serwerów zostało odłączonych, aby wykonać kopie zapasowe i ponownie zainstalować system.
  • O pomoc w dochodzeniu powiadomiono władze Stanów Zjednoczonych i Europy.
  • System zostanie całkowicie przeinstalowany na WSZYSTKICH serwerach kernel.org.
  • Analiza kodu przesłanego do gita, a także plików tar, zacznie potwierdzać, że nic nie zostało zmodyfikowane.

Śpijcie spokojnie przyjaciele

Jonathan Corbet z Linux Foundation napisał notatkę mówiącą o zdarzeniu, które, choć poważne, nie powinno wywołać paniki ani masowej histerii, ponieważ mają narzędzia niezbędne do powrotu do normalności i zlokalizowania wszelkich nieautoryzowanych modyfikacji:

Epizod jest niepokojący i zawstydzający. Ale mogę powiedzieć, że nie ma potrzeby martwić się o integralność kodu źródłowego jądra lub innego oprogramowania hostowanego w systemach kernel.org.

Dlatego musimy być spokojni, bo po wykryciu wszystko wróci do normy. Oczywiście nikt nie może tego odstraszyć i oczywiście był to cios dla kierowników projektów, którzy prawdopodobnie poświęcą czas na poprawę bezpieczeństwa swoich systemów.

źródło: Kernel.org & Alt1040