Ubuntu Forums torna online, spiegato l’attacco

Di - 1 August 2013 - in
Ubuntu Forums

Alcuni giorni fa vi abbiamo parlato dell’attacco ai danni del portale Ubuntu Forums, un importante strumento di supporto per gli utenti del sistema operativo libero sudafricano. Oggi finalmente questo servizio torna disponibile per tutti, dopo dieci giorni di sospensione per ricostruzioni, indagini e test. Vediamo quindi di capire cosa è successo e che misure sono state prese per prevenire un nuovo attacco di questo tipo.

Cominciamo con alcune necessarie premesse. Alla radice del problema vi era la combinazione di un singolo account compromesso e alcune configurazioni di vBulletin, il software del Forum. Nessun servizio di Ubuntu o Canonical è stato compromesso, né tantomeno Ubuntu in sé. Ubuntu Forums è stato riparato e rinforzato per una maggiore sicurezza degli utenti.

Cosa è successo

Il 14 Luglio 2013 alle ore 16:58 UTC il malintenzionato è riuscito ad accedere al servizio con l’account di un moderatore, membro della Comunità di Ubuntu. Non è chiaro come sia riuscito ad ottenere l’accesso a questo account, che aveva i permessi di pubblicare annunci nel Forum. In vBulletin gli annunci possono essere autorizzati a contenere codice HTML non filtrato (ed è la configurazione predefinita).

Il malintenzionato ha sfruttato questa configurazione del software e pubblicato un annuncio, per poi inviare dei messaggi privati a tre amministratori del Forum comunicando la presenza di un errore del server nella pagina dell’annuncio, chiedendo agli amministratori stessi di dare un’occhiata. Un confronto con lo staff di supporto di vBulletin ha evidenziato che il malintenzionato avrebbe inserito un attacco XSS (Cross-Site Scripting) nell’annuncio, il quale avrebbe inviato all’attaccante i cookie di tutti i visitatori di quella pagina (i cookie contengono informazioni sensibili relative all’account, quali nome utente, email e password).

Fatto sta che uno degli amministratori ha guardato la pagina, come richiesto, e ha risposto al messaggio del malintenzionato dicendo di non aver trovato alcun errore. 31 secondi dopo la sua visita alla pagina, però, il malintenzionato ha effettuato l’accesso a Ubuntu Forums con l’account dell’amministratore, prima ancora che questi riuscisse a rispondere al messaggio privato.

Una volta che l’attaccante ha ottenuto accesso alla piattaforma come amministratore è stato in grado di inserire degli hook tramite il pannello di controllo degli amministratori. Gli hook in vBulletin sono delle parti di codice PHP arbitrario che può essere eseguito ad ogni caricamento della pagina. Il malintenzionato ha installato uno hook che gli permettesse di eseguire codice PHP arbitrario passato nell’argomento di una query. Ha utilizzato questo meccanismo per esplorare l’ambiente della piattaforma e addirittura caricare ed installare due kit di shell PHP, utilizzati poi per caricare ed eseguire del codice PHP personalizzato per scaricare la tabella ‘user’ del database in un file su disco.

Il malintenzionato è poi tornato il 20 Luglio per caricare la pagina di defacciamento.

A cosa ha avuto accesso il malintenzionato

Il malintenzionato è riuscito ad ottenere l’accesso completo all’ambiente di vBulletin come amministratore e accesso shell come utente ‘www-data’ nei server di Ubuntu Forums. Grazie all’accesso come amministratore era in grado di leggere e scrivere in ogni tabella del database ed in particolare ha scaricato la tabella ‘user’, che conteneva username, email e password (criptata con md5 e salt) di 1.82 milioni di utenti.

A cosa non ha avuto accesso

Si crede che il malintenzionato non sia riuscito ad ottenere accesso come root nei server di Ubuntu Forums (l’utente ‘www-data’ non ha permessi di root) e che non sia riuscito ad ottenere accesso remoto via SQL ai server del database. Si reputa inoltre che non sia riuscito ad accedere in alcun modo ai server che ospitano il frontend della piattaforma, così come non sia riuscito ad ottenere accesso ad altri server di Ubuntu e Canonical.

Si è invece certi che il malintenzionato non è riuscito ad ottenere l’accesso ad alcun repository di Ubuntu.

Cosa non si sa

Non si conosce il modo in cui il malintenzionato abbia ottenuto accesso all’account del moderatore usato per iniziare l’attacco. Al tempo stesso non si conosce esattamente il tipo di attacco XSS utilizzato nell’annuncio, dal momento che questo è stato eliminato da uno degli amministratori.

Cosa è stato fatto

Prima di rimettere online Ubuntu Forums, il team dei sistemisti di Canonical ha messo in pratica alcuni accorgimenti per risolvere il problema e aumentare la sicurezza complessiva della piattaforma per evitare attacchi futuri.

Pulizia

  • Tutti gli utenti sono stati informati dell’accaduto via email ed è stato loro suggerito di modificare la password potenzialmente compromessa. Se questa password è stata utilizzata anche per altri servizi, è conveniente modificarla anche in quelli.
  • È stato fatto un backup dei server che utilizzano vBulletin, sono stati puliti completamente e la piattaforma è stata ricostruita da zero.
  • Sono state randomizzate le password degli utenti.
  • Sono state resettate le password dei server e del database.
  • È stato effettuato un controllo sulle tabelle del database, quindi sono state importate manualmente in un nuovo database.

Sicurezza

  • È ora possibile modificare o aggiungere hook solo tramite accesso root al database.
  • Solo gli amministratori possono inserire codice HTML potenzialmente pericoloso negli annunci.
  • È stato integrato il sistema di login Ubuntu SSO per l’autenticazione degli utenti.
  • È stato inserito un sistema automatico di scadenza degli account moderatori e amministratori inattivi.
  • vBulletin è stato confinato in un account AppArmor.
  • Sono stati rivisti e rinforzati i firewall attorno ai server di Ubuntu Forums.
  • Sono state riviste e rinforzate le configurazioni PHP nel server per quanto riguarda le tecniche utilizzate dal malintenzionato.
  • È stato forzato l’utilizzo di HTTPS per il pannello di controllo di amministratori e moderatori ed è stato reso opzionale in tutti gli altri contesti.
  • Sono state migliorate le procedure che consentono ai membri della Comunità di Ubuntu di moderare la piattaforma volontariamente per periodi determinati.
  • Continueranno i lavori assieme allo staff di vBulletin per evitare futuri inconvenienti come questo. Per il trattamento dell’incidente lo stesso staff di vBulletin si è dimostrato molto collaborativo.

Via | Canonical

Leave a Reply

Mattia Migliorini Articolo scritto da

Studente di informatica presso l'Università di Padova, web designer, amante di Linux e dell'open source in generale. Membro di Ubuntu e di 2viLUG, da gennaio 2012 è collaboratore di Engeene.

Contatta l'autore

Previous post:

Next post: