Ubuntu Forums (ubuntuforums.org) kompromittiert – zwei Millionen Datensätze gestohlen
Canonical meldet, dass es einen Security-Vorfall bei ubuntuforums.org (Ubuntu Forums) gab. Laut eigenen Angaben wurde der Fehler bereits korrigiert und der Service läuft wieder. Aus Gründen der Transparenz will das Unternehmen die Details über den Einbruch veröffentlichen.
Was passiert ist
Am 14. Juli 2016 wurde Canonical vom Ubuntu Forums Council in Kenntnis gesetzt, dass jemand behauptet, eine Kopie der Forums-Datenbank zu haben.
Nachdem sich das Security Team die Sache angesehen hatte, wurde bestätigt, dass es ein Datenleck gab. Das Forum wurde aus Sicherheitsgründen abgeschaltet. Der Fehler konnte auch gefunden werden. Es handelte sich um eine bekannte SQL Injection Vulnerability des Forumrunner Add-ons.
Auf was die Angreifer Zugriff hatten
Die Angreifer konnten diverse SQL-Befehle in die Datenbank des Forums einspeisen – beziehungsweise die Datenbank Server. Somit ließ sich jede Tabelle lesen, aber Canonical nimmt an, dass lediglich von der Tabelle user gelesen wurde.
Durch den Zugriff wurden gewisse Teile der Tabelle user ausgelesen. Darin befinden sich Anwendernamen, E-Mail-Adresse und IP-Adressen von zwei Millionen Anwendern. Die böswilligen Hacker haben nicht auf aktive Passwörter zugreifen können. Die in der Tabelle hinterlegten Passwörter sind zufällige Zeichen, da die Ubuntu Forums auf SSO (Single Sign On) für das Anmelden setzen. Die zufälligen Zeichenketten wurden aber heruntergeladen.
Auf was es keinen Zugriff gab
Es ist ja nicht nur interessant, was kopiert wurde, sondern vor allen Dingen, was nicht manipuliert wurde.
Canonical weiß,
- dass die Angreifer keinen Zugriff auf Ubuntu Code oder ein Repository hatten. Das gilt auch für Update-Mechanismen. Du musst Deinen Rechner also nicht kontrolliert in die Luft jagen … 🙂
- dass die Angreifer keine gültigen Passwörter abfischen konnten.
Canoncial glaubt zu wissen,
- dass die Angreifer nicht mehr als SQL-Lesezugriffe auf die Forums-Datenbank gehabt haben.
- dass die böswilligen Hacker keine SQL-Schreibaktionen durchführen konnten.
- dass kein Shell-Zugriff auf die Forums-App oder die Datenbank-Server möglich war.
- dass kein Zugriff auf die Frontend Server stattgefunden hat.
- dass die Angreifer keinen Zugriff auf andere Services von Canonical oder Ubuntu hatten.
Glauben ist etwas für Pfarrer, hat schon Kottan schon gesagt. Allerdings bekommen Administratoren anhand der Log-Dateien einen recht guten Einblick, was passiert ist. Das gilt vor allen Dingen in Fällen, in denen kein Schreibzugriff möglich war. Da lassen sich auch die Logs nicht löschen.
Aufräumungsarbeiten bei Ubuntu Forums
Die Administratoren haben die Server mit vBulletin gesichert und dann neu installiert. Weiterhin wurde die allerneueste Version von vBulletin eingespielt. Ebenso haben die Admins alle Passwörter für die entsprechenden Systeme und Datenbanken geändert.
Aus Gründen der Abhärtung wurde dem WAF (Web Application Firewall) ModSecurity installiert. Dieser Schritt soll ähnliche Einbrüche in der Zukunft verhindern.
Das Monitoring für vBulletin wurde erhöht. Damit wollen die Administratoren sicherstellen, dass Patches künftig zeitnah eingespielt werden.