知名作業系統 Ubuntu Linux 的網路論壇被駭客入侵

作者 | 發布日期 2016 年 07 月 20 日 17:55 | 分類 網路 , 資訊安全 , 軟體、系統 follow us in feedly

Canonical 公司證實,其知名的 GNU/Linux 發行套件 Ubuntu,其網路論壇在 15 日被駭客入侵,好在使用者密碼並未外洩。



時間發生在 UTC 時間 2016 年 7 月 14 日 20:33,Ubuntu 論壇的管理者之一通報 Canonical 公司有人宣稱取得論壇資料庫的副本。

經過一些初步的調查,Canonical 公司確認論壇的資料庫確實被暴露在外,於是緊急關閉論壇。進行更深入的調查以後,發現論壇有一個外掛模組未經修補,其名叫做 Forumrunner,確定有被 SQL 資料隱碼攻擊的漏洞(原文是 SQL injection,指得是在 SQL 指令的輸入字串中再夾帶其他的 SQL 指令,而夾帶的是惡意指令)。

 

攻擊者可以取得的

Canonical 公司認為攻擊者有辦法讀取資料庫上的任何表格,但是 Canonical 公司相信攻擊者只讀了「user」的表格,意思是攻擊者只有拿到資料庫讀取的權限,沒有取得更高的權限,所以無法寫入資料,也無法惡意竄改伺服器上的軟體。然而攻擊者仍然可以讀取、下載高達兩億用戶的名字、電子郵件地址和 IP 位址。好在密碼無法取得,因為存放在那邊的密碼都是一堆隨機亂數的字串,因為它們是墋了鹽的雜湊成果。

 

攻擊者無法取得的

Canonical 公司認為:

攻擊者無法取得任何 Ubuntu 套件管理庫以及其更新機制的控制;無法獲得有效的用戶密碼;無法對論壇的資料庫伺服器升高之前的遠端 SQL 讀取;無法獲得對論壇的資料庫的遠程 SQL 寫入權;無法從任何的論壇程式或資料庫伺服器取得 shell 的使用權力(註:GNU/Linux 作業系統的控制後台)。攻擊者沒有取得任何該論壇前端伺服器的控制權,無法取得任何其他 Canonical 或 Ubuntu 服務的控制。

 

善後處置

為了修復這個狀況,Canonical 公司做了以下的程序:

清理:該公司備份了運行 vBulletin 的伺服器,然後徹底的抹除,再從頭開始,重建了論壇伺服程式,然後把 vBulletin 更新到最新的補丁修補,也重置了所有系統和資料庫的密碼。

強化:安裝了一個 Web 應用防火牆──ModSecurity,以防止今後再發生類似的攻擊,此外也改善了對上遊 vBulletin 開發團隊發安全修正的訊息監測,以確保安全修正的補丁能及時施行,來杜絕有大的空窗期,讓駭客得以再次乘虛入侵論壇。

(首圖來源:Flickr/Thomas Hawk CC BY 2.0;首圖來源:shutterstock) 

關鍵字: , , , , ,

發表迴響