jueves, 1 de septiembre de 2011

Hackean servidor del site kernel.org

En el sitio kernel.org nos informan que su propia seguridad ha sido comprometida: "A principio de mes, un número de servidores en la infraestructura de kernel.org fueron comprometidos. Descubrimos esto el 28 de agosto. Mientras actualmente creemos que los respositorios del código fuente no fueron afectados, estamos en el proceso de verificarlo y tomar los pasos para mejorar la seguridad en toda la infraestructura de kernel.org." 

Como mencionan en dicho sitio, de todos modos no hay mucho que ganar manipulando los repositorios Git ubicados alli. La infección ocurrió sino a partiru del 12 de agosto y no fue detectada hasta 17 días más tarde. Los sistemas fueron infectados por un off-the-shelf (fuera de la plataforma), un rootkit de auto-inyección conocido como Phalanx que ha atacado sistemas sensibles Linux en el pasado.
¿Qué pasó?

Los intrusos ganaron acceso a root (a esto yo le llamo "batalla perdida") en el servidor Hera. Se cree que ganaron dicho acceso mediante una credencial de usuario comprometida; la forma en se manejaron para explotar eso y llegar a root aún se desconoce pero está siendo investigada.

Ficheron que pertenecen a ssh (openssh, openssh-server and openssh-clients) fueron modificados y ejecutados en vivo. Un troyano fue añadido a los scripts de arranque y Las actividades de los usuarios fueron registradas

Más detalles de otras fechorías cometidas y las medidas que se están tomando al respecto para saber claramente cómo sucedió el ataque y prevenir futuros, son dados en el site kernel.org, el cual les animo a visitar.

No hay comentarios:

Publicar un comentario