Ataque ao Ubuntu Forums teve uma pitada de engenharia social
Já foi à mais de uma semana em que ocorreu um grave ataque ao Ubuntu Forums, resultando na divulgação pública de usernames, emails e passwords (cifradas: md5 + salt) de cerca de 1,8 milhões de utilizadores. Durante todo este tempo, o fórum esteve encerrado para manutenção.
Este ataque teve uma estratégia muito bem delineada, do ponto de vista técnico, uma vez que teve uma combinação perfeita de estratégia e engenharia social, aliando a capacidade à oportunidade. De grosso modo, o atacante obteve o acesso à conta de um moderador do fórum, cujo sofwate é o conhecido vBulletin. Ao que parece, alguns moderadores têm a capacidade de fazer anúncios, cujo conteúdo permite ter HTML e invocar scripts. Com isto em mente, o atacante construiu uma “armadilha” criada para os administradores, avisando-os que que um “anúncio estranho” tinha sido feito no fórum.
Com recurso a esta armadilha, o atacante obteve credenciais de administrador do vBulletin, e ainda acesso via SSH ao servidor (utilizador www-data). Com as credenciais de administrador, foi possível obter acesso de leitura+escrita às tabelas da base de dados, onde se encontra toda a informação de utilizadores. Para estes últimos, isto significa que pelo menos o username e email está exposto publicamente, e poderá está nas mãos de spammers. Quanto às passwords não estão expostas de forma direta mas, o facto de o atacante conseguir ter o acesso aos ficheiros do vBulletin pode significar que também pode estar em posse da “salt”, aproximando-o de descobrir colisões e conseguir adivinhar passwords mais comuns. Por isso, a Canonical também recomenda a troca de passwords noutros serviços, caso fosse a mesma do fórum.
At 16:58 UTC on 14 July 2013, the attacker was able to log in to a moderator account owned by a member of the Ubuntu Community.
This moderator account had permissions to post announcements to the Forums. Announcements in vBulletin, the Forums software, may be allowed to contain unfiltered HTML and do so by default.
The attacker posted an announcement and then sent private messages to three Forum administrators (also members of the Ubuntu community) claiming that there was a server error on the announcement page and asking the Forum administrators to take a look.
(…)
The attacker had full access to the vBulletin environment as an administrator and shell access as the ‘www-data’ user on the Forums app servers.
Having administrator access to the vBulletin environment means they were able to read and write to any table in the Forums database.
They used this access to download the ‘user’ table which contained usernames, email addresses and salted and hashed (using md5) passwords for 1.82 million users.
Os Ubuntu Forums encontram-se agora operacionais, e o sistema de login foi trocado para o SSO (Single Sign-on) da Canonical, o que significa que os Ubuntu Forums não irão armazenar mais passwords na sua base de dados, delegando esta responsabilidade para um servidor mais seguro.
Foi uma das principais notícias nestas últimas semanas, e para quem procurava alguma informação sobre o Ubuntu deve ter-se deparado muitas vezes com o ecrã de manutenção que substituía a página do fórum. Em suma, um enorme transtorno quer para a Canonical, quer para os seus visitantes (membros registos ou que apenas pretendiam ler artigos).
Comentários