Canonical 公司证实,其知名的 GNU/Linux 发行套件 Ubuntu,其网络论坛在 15 日被骇客入侵,好在使用者密码并未外泄。
时间发生在 UTC 时间 2016 年 7 月 14 日 20:33,Ubuntu 论坛的管理者之一通报 Canonical 公司有人宣称取得论坛数据库的副本。
经过一些初步的调查,Canonical 公司确认论坛的数据库确实被暴露在外,于是紧急关闭论坛。进行更深入的调查以后,发现论坛有一个外挂模组未经修补,其名叫做 Forumrunner,确定有被 SQL 资料隐码攻击的漏洞(原文是 SQL injection,指得是在 SQL 指令的输入字串中再夹带其他的 SQL 指令,而夹带的是恶意指令)。
攻击者可以取得的
Canonical 公司认为攻击者有办法读取数据库上的任何表格,但是 Canonical 公司相信攻击者只读了“user”的表格,意思是攻击者只有拿到数据库读取的权限,没有取得更高的权限,所以无法写入资料,也无法恶意窜改服务器上的软件。然而攻击者仍然可以读取、下载高达两亿用户的名字、电子邮件地址和 IP 位址。好在密码无法取得,因为存放在那边的密码都是一堆随机乱数的字串,因为它们是墋了盐的杂凑成果。
攻击者无法取得的
Canonical 公司认为:
攻击者无法取得任何 Ubuntu 套件管理库以及其更新机制的控制;无法获得有效的用户密码;无法对论坛的数据库服务器升高之前的远端 SQL 读取;无法获得对论坛的数据库的远程 SQL 写入权;无法从任何的论坛程式或数据库服务器取得 shell 的使用权力(注:GNU/Linux 操作系统的控制后台)。攻击者没有取得任何该论坛前端服务器的控制权,无法取得任何其他 Canonical 或 Ubuntu 服务的控制。
善后处置
为了修复这个状况,Canonical 公司做了以下的程序:
清理:该公司备份了运行 vBulletin 的服务器,然后彻底的抹除,再从头开始,重建了论坛伺服程式,然后把 vBulletin 更新到最新的补丁修补,也重置了所有系统和数据库的密码。
强化:安装了一个 Web 应用防火墙──ModSecurity,以防止今后再发生类似的攻击,此外也改善了对上游 vBulletin 开发团队发安全修正的讯息监测,以确保安全修正的补丁能及时施行,来杜绝有大的空窗期,让骇客得以再次乘虚入侵论坛。
- Notice of Ubuntu Forums breach; user passwords not compromised
- Ubuntu Forums Hacked, But Passwords Were Not Compromised
(首图来源:Flickr/Thomas Hawk CC BY 2.0;首图来源:shutterstock)