Betörtek a kernel.org-ra
Ismeretlen támadók mintegy két hétig rendelkeztek root jogosultsággal a kernel.org-ot kiszolgáló egyik backend szerveren. A Linux kernelje azonban biztonságban, a hash-elt fájlokban nem találtak módosítást.
Támadók hatoltak be a Linux kernel fejlesztői oldalára augusztusban. A kernel.org közleménye szerint a behatolók sikerrel szereztek root jogosultságot az oldal legalább egy back-end szerverén és azon automatikusan elinduló rosszindulatú alkalmazást helyeztek el.
Nagy ijedtség
A közlemény szerint a kernel.org mögött álló kiszolgálók egyikét, a Hera nevezetű gépet sikerült feltörniük a tetteseknek és átvenniük felette a korlátlan irányítást. A kernel.org azt sejti, a behatolásra úgy kerülhetett sor, hogy a támadók megszerezték valamelyik adminisztrátor adatait - az, hogy ezt hogyan sikerült root jogosultsággá eszkalálniuk, egyelőre kérdéses.
A Linux-közösséget valószínűleg semmilyen kár nem érte, a kernel.org által használt git rendszer ugyanis az összes, a Linux kernellel kapcsolatos fájl esetében SHA-1 alapú hash-t számol, amely biztonságos és egyszerű tájékoztatást ad arról, ha a támadók valamit módosítottak a szervereken. A hash-ek összehasonlításával ugyanis a legkisebb, akár bitszintű módosítás is kiszűrhető, a hash-algoritmus pedig teljesen biztonságos. Ennek megfelelően szinte teljes bizonyossággal állítható, hogy a Linux kernelt támadás nem érte, idegen kód nem került bele.
Sokáig tartott
Az incidenst amúgy a felhasználók jelezték az oldal adminisztrátorai felé, az oldal ugyanis Xnest hibákat jelzett, miközben a szerverekre az adott alkalmazás nem volt telepítve. Az ezt követő nyomozás során találtak rá arra, hogy az SSH-alkalmazást módosították, illetve a kiszolgálóra egy, backdoor trójait telepítettek. A rendszernaplók szerint a támadás augusztus 12-én zajlott le, a kiszolgáló ettől az időponttól augusztus 28-ig állt idegenek irányítása alatt.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
Az, hogy a támadás lyen sokáig észrevétlen maradhatott, komoly presztízsveszteség az oldal adminisztrátorainak, egyes források szerint ugyanis a támadást még a chkrootkit eszköz is pillanatok alatt kimutatta volna. A támadás az Androidot is érintette, mivel Android Open Source Project git szerverei is a kernel.org-nál vannak. A kiszolgálókat a Google kérésére ideiglenesen leállították, és bár eredetileg tegnapra tervezték a visszakapcsolást, az oldal a cikkünk írásának pillanatában sem érhető el.
Csak óvatosan
A támadás után óvintézkedésként az oldal mögött álló összes kiszolgálót lekapcsolták, tartalmukról backup készül és mindegyikre új telepítésű rendszer kerül - ezzel a szerverek újra biztonságossá válnak. A tartalom elemzésére ezután kerül sor, abból várhatóan kiderül majd a támadás pontos menete és az, hogy milyen sebezhetőséget használtak ki a támadók a felhasználói jogosultság root szintre emeléséhez. Azt már sikerült megállapítani, hogy a jogosultságemelés a kernel legújabb, 3.1-rc2-es változatában nem működik, bár ez következhet a rosszindulatú kód tervezett működéséből is.
A kernel.org bejelentése szerint az oldalt és biztonsági házirendjeit szigorú auditnak vetik alá, azonban biztosak abban, hogy a kernel fejlesztését lehetővé tevő rendszerek, köztük a git biztonsága egyelőre kikezdhetetlen, és nem teszi lehetővé, hogy ezek a támadások valós kárt okozzanak. Az oldal 448 felhasználójának felhasználói nevét és jelszavát most lecserélik, az SSH-kulcsaikkal együtt, az oldal működése ezzel helyreáll.