Зафиксировано вторжение злоумышленника в инфраструктуру проекта Fedora

25.01.2011 | 10:39
Зафиксировано вторжение злоумышленника в инфраструктуру проекта Fedora
Лидер проекта Fedora сообщил детали произошедшего 22 января инцидента, в результате которого злоумышленники смогли проникнуть на некоторые серверы проекта под одним из пользовательских аккаунтов. В сообщении с разбором ситуации утверждается, что параметры доступа были получены вследствие внешней атаки (например, взлом машины разработчика или сниффинг), а серверы инфраструктуры не были взломаны напрямую.

Поверхностная проверка показала, что злоумышленники не вышли за пределы скомпрометированного аккаунта и не воспользовались функциями формирования сборок и обновлений. Тем не менее, мейнтейнерам пакетов рекомендовано регулярно анализировать журналы внесения изменений в пакеты и информировать администрацию (admin at fedoraproject.org) о любой подозрительной активности. Участникам проекта при доступе к инфраструктуре Fedora настоятельно рекомендуется использовать надежные пароли и не применять эти же пароли в других проектах, особенно на web-сайтах не использующих шифрование.

Проникновение злоумышленника было выявлено после обращения одного из разработчиков, обеспокоенного получением системного письма с уведомлением об изменении параметров аккаунта. Администраторы проекта немедленно приступили к разбору ситуации и выяснили, что действительно под аккаунтом обратившегося пользователя были осуществлены факты входа постороннего лица.

Скомпрометированный аккаунт не входил в группу системных администраторов и команды по подготовке релизов, но обладал следующими привилегиями:

* Возможность входа на серверы fedorapeople.org и pkgs.fedoraproject.org с правами непривилегированного пользователя;
* Доступ к помещению новых пакетов в систему управления исходными текстами Fedora;
* Право на выполнение сборки пакетов и формирования обновления к ним.

В ближайшее время администраторами проекта будет проведет детальный анализ инцидента и выполнен дополнительный аудит безопасности серверов. Из уже проведенных мероприятий отмечается выполнение следующих действий:

* Блокирование скомпрометированного аккаунта;
* Создание снапшотов всех файловых систем на серверах на которых присутствовал взломанный аккаунт;
* Аудит логов SSH, FAS, Git и Koji показал, что злоумышленник сменил SSH-ключ аккаунта и вошел на сервер fedorapeople.org, но не пытался поместить изменения в систему управления исходными текстами Fedora, не входил на сервер pkgs.fedoraproject.org, не генерировал koji-сертификат, не выполнял сборки пакетов и не формировал обновления пакетов (примечание: или умело замел следы, чтобы создать иллюзию неудавшегося взлома).
вторжение, злоумышленник, инфраструктура, проект, Fedora
По материалам opennet.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код