Επίθεση στο sourceforge.net

Δημοσθένης | Δευ, 01/31/2011 - 11:12 | 6' | 5

Ένα πολύ λυπηρό γεγονός έλαβε χώρα λίγες μέρες πριν τελειώσει ο Ιανουάριος το οποίο απασχόλησε σύσσωμη την κοινότητα ελεύθερου λογισμικού.

 

Στις 27/01/2011 έγινε επίθεση στους servers του sourceforge.net !

 

Το http://sourceforge.net/ είναι γνωστό site που φιλοξενεί μια πληθώρα έργων ανοιχτού και ελεύθερου λογισμικού. Παρέχει υπηρεσίες φιλοξενίας ιστοσελίδων, CVS, περιήγηση στον κώδικα ενός project, sftp κτλ στους developers ελεύθερου λογισμικού.

 

Το http://sourceforge.net/ είναι ο κεντρικός ιστότοπος download των opensource και ελεύθερων έργων και κάθε χρήστης Linux μπορεί να βρει στον χώρο αυτό την εφαρμογή που αναζητά.

 

Η επίθεση έγινε σε αρκετούς servers του SourceForge.net και ήταν βασισμένη σε κάποιο exploit.

Η ομάδα του SourceForge.net αναγκάστηκε να κλείσει κεντρικές υπηρεσίες προς τους χρήστες των project όπως το sftp, cvs κτλ ως μέτρο ασφάλειας μέχρι να βρεθεί και να εντοπιστεί η τρύπα ασφαλείας!

 

Η επίθεση δημιούργησε broken links στα downloads των έργων και λογαριασμοί χρηστών χρησιμοποιήθηκαν για την αποστολή spam emails όπως αναφέρουν οι χρήστες για μερικά από τα προβλήματα που εντόπισαν.

 

Η προτεραιότητα της ομάδας του SourceForge.net ήταν να εμποδίσει περαιτέρω έκθεση στον κίνδυνο των αρχείων των χρηστών και τους λογαριασμούς αυτών και να διασφαλίσει το data integrity των αρχείων κάθε φιλοξενούμενου project.

 

We have all hands on deck working on identifying the exploit vector or vectors, eliminating them, and restoring the impacted services”

 

Έχουμε όλο το προσωπικό επί ποδός εργαζόμενοι στην αναγνώριση του exploit και την επέκταση του/τους εξουδετερώνοντας αυτά και αποκαθιστώντας τους servers που δέχθηκαν την επίθεση”

 

αναφέρει το SourceForge.net σε ανακοίνωση του.

 

Το πρόβλημα αρχικά εντοπίστηκε σε servers που φιλοξενούσαν project και τρέχαν την υπηρεσία CVS αλλά κατόπιν ανάλυσης αποδείχτηκε ότι πολλά άλλα μηχανήματα ήταν compromised και ενώ η ομάδα του SourceForge.net νόμιζε ότι είχε αντιληφθεί την έκταση του προβλήματος ξαφνικά αναγκάστηκε να ελέγξει γενικά όλους τους servers και τις υπηρεσίες τους.

 

Ως πρόχειρο μέτρο ασφάλειας πάρθηκε η απόφαση να κλείσουν οι ακόλουθες υπηρεσίες:

* CVS Hosting
* ViewVC (web based code browsing)
* New Release upload capability
* Interactive Shell services



Μετά από αυτήν την ενέργεια η ομάδα του SourceForge.net εξέδωσε ανακοίνωση στην σελίδα

http://sourceforge.net/apps/wordpress/sourceforge/2011/01/27/service-downtime/

αναφέροντας ότι θα ανακοινώνει νεότερες εξελίξεις για το θέμα αυτό.



Μετά από αρκετές ώρες η SourceForge.net προέβη σε νεότερη ανακοίνωση στην σελίδα

http://sourceforge.net/apps/wordpress/sourceforge/2011/01/27/sourceforge-net-attack-update/



όπου ανάφερε ότι πλέον η ομάδα που έχει αναλάβει την έρευνα έχει σχηματίσει μια καλύτερη εικόνα της όλης επίθεσης και της παρούσας κατάστασης των servers και των δεδομένων που φιλοξενούνται στα μηχανήματα αυτά.

 

Από δω και στο εξής τα κενά ασφαλείας θα διορθωθούν και θα αποτραπεί νέα επίθεση αυτού του τύπου.

 

Η ομάδα της SourceForge.net συνέχισε να κάνει validate data από backup servers που είναι ασφαλής για να βεβαιωθεί ότι δεν έχουν προσβληθεί τα αρχεία των project.

 

Για παράδειγμα κανείς δεν θα ήθελε να κατεβάσει μια έκδοση του phpMyAdmin το οποίο να έχει κενά ασφαλείας ή να κρύβει κάποιο exploit από αλλαγή κώδικα ύστερα από την επίθεση αυτή!

 

Οι υπηρεσίες οι οποίες είχαν κλείσει παρέμειναν κλειστές μέχρι νεοτέρας απόφασης.

 

Στις 29/01/2011 η SourceForge.net αποστέλλει μαζικά email σε όλους τους δημιουργούς project που φιλοξενεί και αναφέρει ότι για λόγους ασφαλείας όλα τα passwords των λογαριασμών των χρηστών πρέπει να γίνουν reset αναγκαστικά διότι ανιχνεύτηκε απόπειρα για password sniffing σε λογαριασμούς χρηστών.

 

Αν και η ομάδα της SourceForge.net δεν μπορεί να ασχοληθεί ξεχωριστά με κάθε λογαριασμό από την στιγμή που έγινε η διαπίστωση παραβίασης μερικών λογαριασμών των χρηστών η SourceForge.net προέβη σε αναγκαστική αλλαγή των κωδικών των λογαριασμών των χρηστών.

 

Αυτή την στιγμή τα πράματα είναι ακόμη ρευστά και αναμένουμε νεότερα για το θέμα αυτό.

password sniffing σε λογαριασμούς χρηστών.

Δώσε αστέρια!

MO: (ψήφοι: 0)

Σχόλια

Άρχισε να είναι μετρήσιμη δύναμη το open source, και ξεκίνησε ο "πόλεμος";

μάλλον οι αντίπαλοι, του εμπορικού λογισμικού ξεκίνησαν τον πόλεμο, έχουμε και τις αρνητικές εξελίξεις με το openoffice, βέβαια έχουμε ήδη περάσει σε libreoffice.

Στις 29/01/2011 το sourceforge.net εξέδωσε νέα ανακοίνωση υπό τον τίτλο “Sourceforge Attack: Full Report”. Στο κείμενο αυτό αναφέρονται με λεπτομέρειες το είδος της επίθεσης και το τι έγινε όλες αυτές τις ημέρες με την επίθεση που δέχτηκε το sourceforge.net.

 

Η επίθεση ανακαλύφθηκε την Τετάρτη 26/01/2011 και αρκετή προσπάθεια από την ομάδα του sourceforge.net καταβλήθηκε προκειμένου να μην υπάρξει ραγδαία εξάπλωση του προβλήματος και σε άλλα μηχανήματα αν και πολλά boxes είχαν ήδη γίνει compromised!

 

Η ομάδα του sourceforge.net πιστεύει ότι πρόλαβε τα πράματα στο “παρά τρίχα” και έτσι αποφεύχθηκαν τα χειρότερα.

 

Οι ενέργειες της ομάδας αντιμετώπισης του προβλήματος δηλαδή να κλείσουν υπηρεσίες όπως CVS, ishell, file uploads κτλ εμπόδισε την εξάπλωση του προβλήματος.

 

Η επίθεση ήταν αρκετά απλή. Σε ένα μηχάνημα ο “εισβολέας” μπόρεσε να πάρει root privilege και έτσι απόκτησε πρόσβαση σε ευαίσθητα δεδομένα και access στα παραπλήσια μηχανήματα με τα οποία το compromised μηχάνημα συνδεόταν. Παρόλα αυτά η τοπολογία του δικτύου απέτρεψε την εξάπλωση του προβλήματος σε άλλες ζώνες του δικτύου.

 

Σε αυτήν την περιοχή ήταν που η ομάδα του sourceforge.net ανακάλυψε την επίθεση και αμέσως έκλεισε τους αντίστοιχους servers με αποτέλεσμα να δημιουργηθεί ένα μεγάλο downtime στο sourceforge.net

 

Η αντίδραση του sourceforge.net ήταν άμεση.

  • Ανάλυση της επίθεσης

  • Έλεγχος όλων των υπηρεσιών

  • Κλείσιμο των υπηρεσιών που μπορούσαν να εξαπλώσουν το πρόβλημα

 

Η ανάλυση της επίθεσης αποκάλυψε έναν hacked SSH daemon ο οποίος έκανε συλλογή από passwords των χρηστών. Για τον λόγο αυτό το sourceforge.net οδηγήθηκε στην αναγκαστική αλλαγή των κωδικών των χρηστών και έστειλε email σε όλους τους χρήστες για το θέμα αυτό.

 

Αυτήν την στιγμή και όλη την εβδομάδα η ομάδα του sourceforge.net θα ελέγχει τα αρχεία των έργων των χρηστών συγκρίνοντας τα με hash από αρχεία που έχουν γίνει backup σε ασφαλή τοποθεσία. Μόλις ολοκληρωθεί το data validation και ελεγχθούν ξανά όλες οι υπηρεσίες και η ασφάλεια του δικτύου θα ξεκινήσουν πάλι οι υπηρεσίες που έχουν κλείσει. Τα δε μηχανήματα που δέχθηκαν την επίθεση θα ξαναστηθούν από την αρχή “από το μέταλλο” όπως χαρακτηριστικά αναφέρει η ανακοίνωση και θα ληφθούν νέα μέτρα ασφαλείας.

Μακάρι ο έλεγχος που θα γίνει να τους οδηγήσει στα σωστά αίτια και να ελεγθούν όλα τα projects για την ακεραιότητα τους. Πριν από λίγους μήνες μάθαμε ότι το FreeBSB είχε στον κώδικα του back-doors από ομάδες του F.B.I.

Update on the SourceForge.net attack

Το sourceforge.net ενημερώνει ότι οι περισσότερες υπηρεσίες έχουν αποκαταστηθεί αλλά το data validation συνεχίζεται και έτσι οι υπηρεσίες CVS, ViewVC παραμένουν offline.