Известны новые подробности взлома форума Ubuntu | Ofisp.org

Известны новые подробности взлома форума Ubuntu

02 августа 201317:2

Компания Canonical опубликовала отчет с подробностями о недавней хакерской атаке на форумы Ubuntu, в результате которой злоумышленники получили контроль над учетными данными 1.8 млн пользователей.

«14 июля 2013 года злоумышленнику удалось получить доступ к учетной записи одного из модераторов форума. У этого модератора было право размещать на форуме анонсы, которые могут содержать HTML-код», – говорится в отчете.

Мошенник разместил на форуме анонс с вредоносной JavaScript-вставкой, после чего разослал личные сообщения трем администраторам форума, сообщив о якобы серверной ошибке на странице анонсов. Один из администраторов решил проверить страницу анонсов, не обнаружил ничего подозрительного и ответил фальшивому модератору личным сообщением. Впоследствии злоумышленник залогинился под именем администратора, получив полный доступ к окружению vBulletin.

Как удалось установить Canonical, при помощи размещенного мошенниками анонса они осуществили XSS-атаку и могли перехватывать «куки» всех посетителей.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило запускать любые команды на сервере с правами пользователя «www-data». Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

Для предотвращения совершения атак в будущем, компания Canonical провела аудит организации работы форума и изменила настройки в пользу максимальной безопасности и изоляции (например, запрещена установка обработчиков в панель управления и запрещена вставка HTML в анонсы, для модераторов и администраторов введено обязательное использование HTTPS, движок форума ограничен средствами AppArmor). Для блокирования возможных закладок форум и система были переустановлены, а база сообщений перестроена. Для аутентификации в форуме задействован централизованный сервис Ubuntu Single Sign On. Так как для хэширования использовался устаревший алгоритм MD5 (с солью), все ранее действующие пароли пользователей были сброшены, а вместо них сгенерированы новые случайные пароли, инструкция по использованию которых была разослана пользователям по электронной почте.

Источник: SecurityLab.ru.

Похожие материалы

27.01.2014
 Каждый компьютерный любитель, хотя бы раз в жизни мечтал приобрести себе Makbook, который в корне отличается от привычных нам компьютерных систем.
01.06.2014
Для того чтобы не ошибиться при подборе следует решить следующие вопросов: Для чего модем нужен? Какая главная цель его применения? Какого уровня качества ваша телефонная сеть? Также многое зависит от конфигурации вашего компьютера и, само собой, от суммы денег, которую вы можете выложить за него.
14.10.2015
Наверное, многих будет интересовать вопрос, как правильно выбрать смартфон и при этом сэкономить. Сегодня едва ли каждый месяц мы слышим о новинках, которые расхваливают со всех сторон. Но как часто мы должны менять свой телефон на новый, как быстро мы должны распрощаться с только что приобретенным новеньким аппаратом?
10.07.2014
Именно от выбора интернет-провайдера будет зависеть скорость работы и стабильность доступа к сети интернет, поэтому к выбору провайдера необходимо относится максимально ответственно и рассудительно.
28.03.2014
Исследователи из Массачусетского технологического института добились возможности формирования бактериальных биопленок, содержащих неорганические вещества, например, наночастицы золота, и способных проводить электричество или излучать свет. Ученые надеются, что на биопленках — вязкой слизистой субстанции, общеизвестный пример которой это зубной бактериальный налет, — можно будет со временем создавать электронные устройства, в том числе солнечные батареи и биодатчики, чувствительные к токсинам.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв