Software::Distributionen::Ubuntu
Ubuntu-Forum nach Einbruch wieder hergestellt
Die Administratoren des offiziellen Ubuntu-Forums haben das System nach gut einer Woche wieder hergestellt und eine Erklärung abgegeben, was passiert ist und was nun verbessert wurde.
Canonical
Am 22. Juli war der
Einbruch in das Ubuntu-Forum bekannt geworden, bei dem ein oder mehrere unbekannte Einbrecher die verschlüsselten Passwörter und E-Mail-Adressen sämtlicher Benutzer mitgehen ließen. Laut den
Foren-Statistiken hat das Forum über 1,82 Millionen angemeldete Nutzer, die alle auf den Vorfall hingewiesen werden mussten. Das Forum wurde vom Netz genommen und eine dringende Aufforderung an alle Nutzer, die das Passwort des Ubuntu-Forums auch anderswo nutzen, dieses umgehend zu ändern, ausgesandt.
Wie Canonical jetzt mitteilt, war ein kompromittierter Moderator-Account in Kombination mit unsicheren Einstellungen in der vBulletin-Forensoftware der Weg, über den der Einbruch stattfand. Der Einbruch begann bereits am 14. Juli. Ein Moderator-Account in vBulletin hat standardmäßig die Berechtigung, Ankündigungen in das Forum zu stellen, wobei ungefilterter HTML-Code erlaubt ist. Der Einbrecher nutzte dies, um ein mit Cross-Site-Scripting-Code präpariertes Dokument zu posten. Dann schrieb er die drei Administratoren an und behauptete, es gäbe ein Problem in der Ankündigung, und sie sollten sich das ansehen. Als einer der Administratoren dem nachkam, konnte der Einbrecher dessen Cookies übernehmen und sich als Administrator anmelden. Das nutzte er anschließend, um eine Möglichkeit einzubauen, beliebigen PHP-Code auszuführen und zwei PHP-Shell-Kits zu installieren. Auf diesem Wege holte er sich eine Kopie der Benutzertabelle. Am 20. Juli kehrte er zurück und veränderte die Startseite des Forums, wodurch der Einbruch erkennbar war.
Canonical erklärt, dass der Einbrecher keine weitergehenden Rechte als die des Webserver-Benutzers erlangen konnte. Er konnte allerdings alle zum Forum gehörenden Daten lesen oder auch manipulieren. Mit den gestohlenen Passwörtern dürfte wenig anzufangen sein, da sie als gesalzene MD5-Hashes mit 160 Bit Länge abgespeichert waren. Durch das Salzen ergeben die Passwörter von zwei verschiedenen Benutzern auch dann verschiedene Hashes, wenn die Passwörter identisch sind.
Die Administratoren des Forums waren bei der Bereinigung des Schadens vielleicht etwas zu schnell, denn es wurde weder die Ankündigung des Einbrechers noch ein kompletter Dump des Servers gespeichert. So ist jetzt nicht mehr zu ermitteln, wie die Cross-Site-Scripting-Attacke funktionierte. Der Server wurde neu aufgesetzt, neue Passwörter vergeben und alle Benutzerpasswörter des Forums durch Zufalls-Strings ersetzt. Nachdem die Daten des Forums geprüft und in das neue System importiert wurden, ist das Forum nun wieder online.
Mit einer ganzen Reihe von Maßnahmen will Canonical nun verhindern, dass sich ein solcher Vorgang wiederholt. So können keine PHP-Aufrufe mehr von normalen Benutzern in das System eingehängt werden. HTML-Code kann nur noch von Administratoren gepostet werden. Das Forum benutzt jetzt das Ubuntu-SSO-System für die Benutzerauthentifikation. Inaktive Moderator- und Administrator-Accounts verfallen nach einiger Zeit. Für vBulletin wurde ein AppArmor-Profil entwickelt und installiert. Firewall-Regeln, Konfiguration und die Vorgehensweise bei Vorfällen wurden verbessert. Canonical hat nach eigenen Angaben außerdem mit den vBulletin-Mitarbeitern zusammengearbeitet und will dies auch weiter tun, um die Sicherheit weiter zu verbessern.
){kind=logo}
