Włamanie przez skradziony klucz SSH

Skradzione klucze SSH posłużyły do włamania na serwery hostujące pakiety dostawców systemu FreeBSD. Użytkownicy, którzy instalowali paczki innych dostawców, powinni przeinstalować systemy.

Włamywacze komputerowi przejęli kontrolę nad dwoma serwerami, które służyły do budowania paczek z oprogramowaniem różnych dostawców dla systemu FreeBSD. Wszyscy administratorzy, którzy instalowali oprogramowanie z takich paczek od 19 września do dziś, powinni przeinstalować swoje maszyny, gdyż wobec informacji o włamaniu, nie można zagwarantować integralności pobranego oprogramowania.

Włamanie na dwie maszyny klastra FreeBSD.org, które służyły do budowania paczek ze starszym oprogramowaniem, dostarczanym przez różnych dostawców, wykryto 11 listopada 2012 r. Serwery zostały wyłączone i obecnie analizowana jest ich zawartość. Znaczna część pozostałej infrastruktury związanej z projektem FreeBSD została wyłączona ze względów bezpieczeństwa. Włamanie miało wpływ na różne paczki spoza głównej dystrybucji systemu operacyjnego, dlatego jądro, biblioteki systemowe, kompilator oraz najważniejsze narzędzia systemowe zostały nietknięte.

Zobacz również:

  • HPE wzbogaca ofertę software-defined storage
  • Najszybszy Helios w Cyfronecie
  • Akcje Intel spadają - winna rosnąca konkurencja w AI

Jak podają specjaliści z działu bezpieczeństwa FreeBSD, włamywacze pozyskali dostęp po kradzieży oryginalnych kluczy SSH od jednego z deweloperów - nie wykorzystano przy tym żadnej podatności systemu operacyjnego ani infrastruktury.

Chociaż na razie nie wykryto zmian w oprogramowaniu hostowanym na tych serwerach, nie można wykluczyć celowej modyfikacji. Specjaliści zalecają reinstalację systemu operacyjnego jeśli w czasie od 19 września do 11 listopada br. kompilowano jakiekolwiek oprogramowanie lub jeśli korzystano z "portów" skompilowanych z drzew oprogramowania innych niż svn.freebsd.org (bądź mirrorów). Obecnie pakiety dostępne dla wszystkich wersji FreeBSD zostały sprawdzone i wiadomo na pewno, że żaden z nich nie został zmodyfikowany. Jednym ze skutków tego incydentu będzie prawdopodobnie przyspieszenie przejścia ze starego mechanizmu dystrybucji do nowego Subversion.

Nie jest to pierwszy przypadek, gdy zarządzający projektami open source musieli borykać się ze skutkami włamania przy wykorzystaniu przejętych kluczy SSH. W 2009 r. administratorzy serwisów webowych projektu Apache musieli zamknąć główny serwer oraz serwery lustrzane, gdy odkryli, że włamywacze skorzystali ze skradzionych kluczy SSH i podrzucili do serwera złośliwy kod. Podobne przypadki notowano także przy mniej znanych projektach. Najczęstszą przyczyną włamania były źle upilnowane klucze SSH lub błędy w konfiguracji usług dostępu zdalnego dla różnych platform (nie zawsze musi być to Linux czy FreeBSD).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200