Взломаны серверы проекта Debian. Успеху атаки способствовала ошибка в ядре Linux

Воспользовавшись ошибкой, 19 ноября атакующий, уже имевший доступ к серверу, смог снять ограничения, защищавшие систему от рядовых пользователей, и совершить несколько проникновений.

Разработчики обнаружили ошибку в сентябре и исправили ее в последней версии ядра Linux 2.4.23, но исправленная версия вышла несколько позднее — в пятницу, через восемь дней после атаки на Debian.

Debian Project, который в своей работе использует только истинное ПО open-source, утверждает, что проникновения не повлияли на базу кода проекта.«К счастью, мы требуем от разработчиков подписывать присылаемое ими ПО цифровой подписью, — говорит член проекта, программист Мартин Шульц. — Эти файлы сохраняются также вне сайта и используются в качестве базы сравнения для перепроверки».

Команда проекта пообещала заблокировать все учетные записи разработчиков до выявления и исправления ошибки. В понедельник были опубликованы соответствующие поправки, но, когда будут разблокированы учетные записи, не сообщается.

Неизвестный злоумышленник взломал по крайней мере четыре сервера Debian Project. Эти серверы — называемые Master, Murphy, Gluck и Klecker — обслуживали систему регистрации ошибок, базу данных исходного кода, почтовые списки, веб-сайт и секьюрити-патчи проекта open-source.

Как говорится в опубликованных в понедельник результатах анализа, злоумышленник получил доступ к одной из систем, взломав компьютер разработчика и установив на него программу для регистрации клавишного ввода. Когда программист вошел в систему Klecker, злоумышленник перехватил его пароль.

Воспользовавшись сентябрьской ошибкой, атакующий получил права доступа к Klecker уровня owner, то есть, как говорят, «овладел» системой. Ошибка — она находится в той части ядра, которая управляет памятью, — позволяет пользователям, у которых уже есть доступ к системе, повысить свои привилегии. Такие ошибки менее опасны, чем те, что обеспечивают доступ к серверу для внешнего атакующего, поэтому они исправляются не так срочно.

Это не первая атака на ПО open-source. В ноябре злоумышленник пытался исказить ядро Linux, внедрив в него аналогичный дефект. А год назад злоумышленники поместили хакерское ПО в популярный инструмент open-source Tcpdump. Несколько известных атак было предпринято и против других проектов open-source.

Последний баг исправлен в версии ядра 2.4.23 и в ядре Linux нового поколения, начиная с версии 2.6.0-test6, которая вышла в конце сентября.Несмотря на двухмесячную задержку в выпуске патча, Иэн Мердок, основатель Debian и председатель правления Linux-компании Progeny, хвалит команду разработчиков проекта.«В конечном счете ребята замечательно справились с ситуацией: они не скрывали то, что произошло, и очень быстро с этим разобрались», — сказал он. Мердок входит в команду Debian как разработчик, но больше не выполняет повседневных обязанностей администратора.