Команда обеспечения безопасности внутренней инфраструктуры сайта http://www.freebsd.org/ сообщает о состоявшемся вторжении на два узла кластера, обеспечивающего работу CVS-репозиториев сторонних пакетов. На данный момент довольно большое количество машин отключены от сети и проходят внутреннее инспектирование и анализ.
Взлом был обнаружен лишь 11 ноября, хотя само вторжение, скорее всего, произошло еще 19 сентября. Как полагают исследователи, злоумышленникам удалось заполучить SSH-ключ одного из разработчиков дистрибутива. Подчеркивается, что взлом не был результатом эксплоита или системной уязвимости. Попытки взлома зафиксированы на двух головных узлах кластера сервиса сборки сторонних пакетов, использующего признанную устаревшей систему контроля версий CVS.
На данный момент на вопрос модификации проверены Subversion-репозитории Source, Ports и Documentation, изменений в них не было. Кроме этого, базовая часть системы FreeBSD также признана не затронутой хакерами. Все релизы и пакеты FreeBSD на официальном FTP-сервере также не содержат модификаций. Однако, набор пакетов для грядущего релиза FreeBSD 9.1-RELEASE был полностью пересобран, так как выявить изменения в нём оказалось невозможно.
В основном, в зону риска попадают пользователи, скачавшие пакеты из портов, полученных не с сервера svn.freebsd.org и его зеркал в период с 19 сентября по 11 ноября.
Всем пользователям FreeBSD даны следующие рекомендации:
- если вы использовали cvsup/csup, больше этого не делайте;
- если вы использовали cvsup/csup для получения портов, срочно переходите на использование portsnap(8), разработчики уже давно работают с Subversion;
- если вы использовали cvs/anoncvs/cvsup/csup для получения src, также переходите на Subversion или скачивайте бинарные пакеты через freebsd-update(8);
- если вы использовали portsnap(8), выполните команду для получения актуального образа репозитория;
portsnap fetch && portsnap extract - следуйте нашим советам по обеспечению безопастности вашей системы, проверьте её на наличие модификаций;
- все пакеты, установленные в период с 19 сентября по 11 ноября, считайте подозрительными.
Разработчики и администраторы проекта FreeBSD вынесли для себя выводы из сложившейся ситуации и планируют улучшить защиту серверной инфраструктуры для предотвращения возможных атак. Для этого многие неактуальные сервисы будут признаны устаревшими и нерекомендованными к применению, а вместо них по умолчанию будут использоваться современные реализации.
Всем пользователям FreeBSD рекомендуется следить за развитием событий.
>>> Подробности
