Ubuntu дадоха разяснения около проведената
атака към форумите на компанията и хронология на пробива, довел до компрометирането на близо два милиона потребителски акаунта. Отговорност за атаката
беше поета по-късно от white-hat (поне по неговите думи ) хакер с псевдоним Sputn1k_.Около осем часа вечерта българско време на 14.07.2013г., хакерът е успял да се логне в акаунт на модератор, който е бил притежаван от член на Ubuntu Community. Въпросният акаунт е имал пълномощия да пуска съобщения в секция "Обявления" (Announcements) във форумите, като системата на vBulletin - софтуерът, на която основа са изградени форумите - позволява публикуването на нефилтриран HTML. и то по подразбиране. Атакуващата страна е публикувала обявление, а след това е разпратил лични съобщения на администраторите на форумите (също членове на общността на Ubuntu), като им съобщил, че на страницата за обявления има сървърна грешка и ги молил да погледнат за какво става въпрос.Един от администраторите отишъл на страницата, видял, че няма проблем и отговорил на личното съобщение, че не вижда нищо нередно. 31 секунди след като администраторът бил посетил въпросната страница, атакуващият се логнал от негово име. Както споделя и Желика Зорж от Insecure Magazine, след разговор с представители на екипа на vBulletin, хакерът е използвал XSS атака на страницата на обявленията, при което всяка бисквитка от посетилия страницата се връщала на страницата на хакера.Веднъж взел администраторски контрол във форумите, той успял да добави "кука" (hook) през администраторския панел. "Куките" при vBulletin са случаен PHP код, които са направени така че да се зареждат заедно със всяко зареждане на страницата. Това позволило на атакуващата страна да инсталира два широкоразпространени PHP shell-комплекта, които атакуващата страна е използвала да качи и задейства PHP код, за да свали потребителската таблица на диск, която те после и даунлоуднали. На 20-ти юли хакерът се върнал, за да качи компрометираната страница.Това, което отговорните лица от форумите не могат да си обяснят е начина, по който се е стигнало до атаката над модераторския акаунт и каква е точно XSS атаката, която е ползвал, защото публикацията, в която тя се е съдържала е била изтрита от администраторите преди да разберат, че тук става въпрос за атака.Те потвърждават извличането на потребителската таблица, която е съдържала имена, имейл адреси и пароли на потребителите (1.82 млн.), които са били хеширани и "осолени", но заявяват, че не вярват хакерът да е получил достъп до фронт-енд сървърите на форумите, хранилището на кода на Ubuntu и механизмите за обновление или до каквито и да е било други услуги предоставяни от Canonical или Ubuntu. Отговорните лица от компанията и хората, които отговарят за форума продължават сериозно да работят по отстраняване на щетите от атаката и по-важното - изготвянето на план подобни атаки да не могат да се случат за в бъдеще. Пълният текст на съобщението може да намерите
тук.
