Известны новые подробности взлома форума Ubuntu | Ofisp.org

Известны новые подробности взлома форума Ubuntu

02 августа 201318:2

Компания Canonical опубликовала отчет с подробностями о недавней хакерской атаке на форумы Ubuntu, в результате которой злоумышленники получили контроль над учетными данными 1.8 млн пользователей.

«14 июля 2013 года злоумышленнику удалось получить доступ к учетной записи одного из модераторов форума. У этого модератора было право размещать на форуме анонсы, которые могут содержать HTML-код», – говорится в отчете.

Мошенник разместил на форуме анонс с вредоносной JavaScript-вставкой, после чего разослал личные сообщения трем администраторам форума, сообщив о якобы серверной ошибке на странице анонсов. Один из администраторов решил проверить страницу анонсов, не обнаружил ничего подозрительного и ответил фальшивому модератору личным сообщением. Впоследствии злоумышленник залогинился под именем администратора, получив полный доступ к окружению vBulletin.

Как удалось установить Canonical, при помощи размещенного мошенниками анонса они осуществили XSS-атаку и могли перехватывать «куки» всех посетителей.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило запускать любые команды на сервере с правами пользователя «www-data». Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

Для предотвращения совершения атак в будущем, компания Canonical провела аудит организации работы форума и изменила настройки в пользу максимальной безопасности и изоляции (например, запрещена установка обработчиков в панель управления и запрещена вставка HTML в анонсы, для модераторов и администраторов введено обязательное использование HTTPS, движок форума ограничен средствами AppArmor). Для блокирования возможных закладок форум и система были переустановлены, а база сообщений перестроена. Для аутентификации в форуме задействован централизованный сервис Ubuntu Single Sign On. Так как для хэширования использовался устаревший алгоритм MD5 (с солью), все ранее действующие пароли пользователей были сброшены, а вместо них сгенерированы новые случайные пароли, инструкция по использованию которых была разослана пользователям по электронной почте.

Источник: SecurityLab.ru.

Похожие материалы

14.05.2014
Себестоимость очков Google Glass составляет всего лишь десятую часть от их цены ─ 152 доллара. Таковы результаты исследования компании IHS. В свободной продаже «умные» очки Google не доступны, так как они до сих пор проходят стадию бета-тестирования. Однако для разработчиков программ под них, а также в рамках специальных акций они предлагаются за 1500 долларов.
05.05.2014
Став генеральным директором Acer всего около трех месяцев тому назад, Джейсон Чен уже проводит крупные перемены в компании, стремясь разнообразить ее деятельность и окончить продолжавшийся несколько лет период финансовой и операционной нестабильности. Чен принял меры по снижению сильной зависимости Acer от персональных компьютеров, в частности, сделал попытку вывести компанию на зарождающийся рынок носимых устройств. Он также провел инициативы по повышению продуктивности и улучшению морального духа сотрудников компании.
14.07.2014
В наше время человек большую часть своего досуга проводит в интернете. Поэтому к выбору провайдера следует отнестись ответственно. Вы не должны основываться на чем-то одном, желательно подробно изучить все критерии, прежде чем сделать окончательный выбор. Ведь от правильного решения зависит удобство в пользовании и качество интернета. В этой статье будут описаны основные критерии, на которые нужно обратить внимание при выборе провайдера.
10.01.2014
Федеральный арбитражный суд Московского округа отклонил жалобу «Рамблера» на решение суда нижестоящей инстанции, признавшего законным наложение на компанию штрафа в 500 тысяч рублей за отказ вскрывать переписку пользователей.
18.05.2017
Для многих сегодня интернет на телефоне уже стал привычным. Но иногда мы все таки решаем перейти на новый пакет, на более выгодные условия или просто меняем номер телефона. Таким образом иногда возникает вопрос о недорогом надежном мобильном интернете. Где его взять?

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв