ubuntu-680x400

کاربران لینکوس به طور مداوم در فروم های Ubuntu در رفت و آمد هستند، حال ممکن است با شنیدن اخبار مربوط به موفقیت هکرها در شکستن سرویس های اوبونتو و نقض دو میلیون کاربر آن، بخواهند رمزعبورهای خود را تغییر دهند.

Jane Silber، مدیر اجرایی شرکت Canonical، شرکتی که وظیفه حفظ و نگهداری از این سرویس را برعهده دارد، تایید کرده که در روز جمعه، یک آسیب پذیری شناخته شده تزریق یا injection SQL در Forumrunner، و همینطور یک add-on در فروم اوبونتو که پیش از این patched نشده بوده، منجر به این حمله شده است.

در حالی که Silber ادعا می کند هیچ رمزعبور فعالی در این نقض در دسترس نبوده و شکسته نشده است، با این وجود، بعد از چنین تصادفاتی، در کل تغییر رمز عبور یک عمل اجباری است.

در این حمله، مهاجمان و هکرها این توانایی را داشته اند که یک SQL فرمت شده را به داخل پایگاه داده فروم ها تزریق کرده و جداول مربوط به آن پایگاه داده را بخوانند. با این وجود ادعای Silber حاکی از آن است که مهاجمان تنها بر یک جدول به خصوص تمرکز کرده اند، و آن جدول “کاربر” بوده است، جدولی که شامل نام کاربری، رمز عبور و آدرس IP دو میلیون کاربر بوده است. بنا به ادعای Silber، مهاجمان بخش هایی از جدول را دانلود کرده اند، اما وی این هشدار را نیز داده که علاوه بر قدیمی بودن، رمزعبورها نیز هش شده و به صورت “رشته های تصادفی” آشفته و درهم شده اند، چیزی که می تواند رمزگشایی آنها را دشوارتر سازد.

به گفته Silber، Ubuntu مطمئن است که مهاجمان توانایی دسترسی به کدهای سیستم عامل، مکانیزم به روز رسانی آن، یا دسترسی به هر یک از رمزعبورهای کاربران را نداشته است. باور Silber البته با قطعیت کم، این است که، مهاجمان نمی توانسته اند دسترسی از راه دور را برای خواندن SQL تشدید کنند (Escalate Past Remote SQL Read Access)، یا دسترسی از راه دور را برای نوشتن SQL بدست آورند، دسترسی به پوسته را برای پایگاه داده فروم ها کسب کنند، یا دسترسی به پوسته را برای سرورهای فروم ها در اختیار داشته باشند، یا حتی دسترسی به هر یک از سرویس های دیگر شرکت Canonical  یا  Ubuntuرا بدست آوردند.

پنجشنبه گذشته، زمانی که یکی از اعضای انجمن فروم های اوبونتو، به تیم امنیتی اطلاعاتی شرکت  اطلاع داد که شخصی ادعا کرده که یکی کپی از پایگاه داده فروم را در اختیار دارد، شرکت Canonical نیز کار خود را برای یافتن این حادثه و رویداد آغاز کرد. بعد از اینکه شرکت توانست وجود یک منفذ یا نشتی (leak) را تایید کند، تیم امنیتی برای یک مدت سایت را down کردند.

Silber ادعا کرده که اوبونتو از تمام سرورهایی که vBulletin را اجرا می کنند، یک پشتیبانی و backed up دارد، نرم افزار فروم، اجراهایش را بسته بندی کرده، و “آنها را پاکسازی نموده و از ابتدا دوباره می سازد.” بنا به گزارشات، پلتفرمی نیز برای آخرین سطح Patch یا وصله به ارمغان آورده، و نظارت هایش را بر نرم افزار بهبود داده تا تضمین کند که این Patche ها بلافاصله اعمال می شوند.

تمام رمزعبورهای پایگاه داده و سیستم را نیز reset یا تنظیم مجدد کرده و ModSecurity را نصب کرده است؛ ModSecurity یک برنامه تحت وب فایروال منبع باز است. این دومین بار است که در چند سال گذشته، یک نقض عمده به فروم های اوبونتو ضربه می زند. تقریبا سه سال پیش بود که مهاجمان و هکرها، با استفاده از آسیب پذیری برنامه نویسی cross-site، نام کاربری، رمزعبورها و آدرس های ایمیل ۱.۸ میلیون نفر را غیرفعال کردند. درست به مانند نقض هفته گذشته، در نوبه قبل نیز شرکت ادعا کرده بود که اطلاعات با یک الگوریتم MD5 hashing و رمزنگاری salt برای هر کاربر، رمزگذاری شده است.

در طول سال های گذشته، vBulletin که یک نرم افزار محبوب مخصوص فروم است، بارها مورد هدف مهاجمان و هکرها واقع شده است. چندین سال قبل، مهاجمان یک zero day را در چندین نسخه از پلتفرم ها اهرم و وسیله نفوذ قرار دادند تا بتوانند با هر دو فروم MacRumors.com  و  vBulletinمصالحه و سازش کنند. محدوده حملات MacRumors خیلی کوچکتر از نواقض امنیتی Ubuntu بود؛ فقط تعداد ۸۶۰۰۰۰ رمزعبور رمزنگاری شده سرقت شد.

مهاجمان ماه های قبل نیز به VerticalScope ضربه وارد کرده اند، VerticalScope ارتباطات آنلاین و فروم ها را توسعه داده و اداره می کند، به دنبال این حمله و بعد از سوء استفاده از نرم افزار منسوخ vBulletin، ۴۰ میلیون اعتبار و گواهی نامه (credentials) غیرفعال شد.

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *