Известны новые подробности взлома форума Ubuntu | Ofisp.org

Известны новые подробности взлома форума Ubuntu

02 августа 201318:2

Компания Canonical опубликовала отчет с подробностями о недавней хакерской атаке на форумы Ubuntu, в результате которой злоумышленники получили контроль над учетными данными 1.8 млн пользователей.

«14 июля 2013 года злоумышленнику удалось получить доступ к учетной записи одного из модераторов форума. У этого модератора было право размещать на форуме анонсы, которые могут содержать HTML-код», – говорится в отчете.

Мошенник разместил на форуме анонс с вредоносной JavaScript-вставкой, после чего разослал личные сообщения трем администраторам форума, сообщив о якобы серверной ошибке на странице анонсов. Один из администраторов решил проверить страницу анонсов, не обнаружил ничего подозрительного и ответил фальшивому модератору личным сообщением. Впоследствии злоумышленник залогинился под именем администратора, получив полный доступ к окружению vBulletin.

Как удалось установить Canonical, при помощи размещенного мошенниками анонса они осуществили XSS-атаку и могли перехватывать «куки» всех посетителей.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило запускать любые команды на сервере с правами пользователя «www-data». Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

Для предотвращения совершения атак в будущем, компания Canonical провела аудит организации работы форума и изменила настройки в пользу максимальной безопасности и изоляции (например, запрещена установка обработчиков в панель управления и запрещена вставка HTML в анонсы, для модераторов и администраторов введено обязательное использование HTTPS, движок форума ограничен средствами AppArmor). Для блокирования возможных закладок форум и система были переустановлены, а база сообщений перестроена. Для аутентификации в форуме задействован централизованный сервис Ubuntu Single Sign On. Так как для хэширования использовался устаревший алгоритм MD5 (с солью), все ранее действующие пароли пользователей были сброшены, а вместо них сгенерированы новые случайные пароли, инструкция по использованию которых была разослана пользователям по электронной почте.

Источник: SecurityLab.ru.

Похожие материалы

29.04.2014
TM Fly выводит на украинский рынок доступный четырехъядерный смартфон Fly IQ4410i– бюджетное продолжение полюбившегося прошлогоднего флагмана Phoenix. Его рекомендованная розничная цена составит  1750 грн. Об этом официально сообщила пресс-служба украинского офиса Fly.
20.05.2014
Четко для себя определите, что вашему офису нужно для полноценного контактирования с внешним миром. Наличие доступа в Интернет на каждом рабочем компьютере, одна либо много телефонных линий, маленькая АТС, объединение в единую сеть всех подразделений с объектами (к примеру, отдельно стоящих терминалов POS или же удаленных складов) – все будет лучше заказывать у единого поставщика.
18.09.2015
Локальные компьютерные сети необходимы для доступа в интернет и внутренней связи между компьютерами, а также принтерами и другими устройствами, находящимися в ведении одного офиса, квартиры.
21.05.2014
Корпорация Microsoft резко изменила стратегию в отношении Surface: теперь это гибрид ноутбука с планшетом, предназначенный не для потребителей, а исключительно для корпоративных заказчиков. Вместо того, чтобы выпускать потребительскую модель Surface с меньшим экраном, как многие ожидали, корпорация выпустила Surface Pro 3 — планшет, который опциональная клавиатура превращает в легкий ноутбук.
12.11.2013
Министерство связи и массовых коммуникаций опубликовало текст стратегии развития IТ-отрасли в России на 2014-2020 годы. Соответствующий документ появился на сайте ведомства. Новая стратегия утверждена правительством 1 ноября. Как говорится в тексте, одной из главных целей развития отрасли информационных технологий в стране должно стать массовое внедрение широкополосного доступа к Интернету. К 2018 году Минкомсвязи рассчитывает обеспечить широкополосным доступом до 80 процентов всех российских домохозяйств.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв