In der heutigen Zeit sind Hacker immer raffinierter geworden und zwingen Unternehmen, die mit größeren Mengen an Benutzerdaten (Passwörter und Benutzernamen) umgehen, gut befestigte Mauern zu verwenden, um wertvolle Datenmengen zu lenken in Servern und Datenbanken gespeichert.
Trotz enormer Anstrengungen, die die Investition von Zeit und Geld beinh alten, scheinen Hacker immer Schlupflöcher zu finden, die sie ausnutzen können, wie es bei einer kürzlichen Sicherheitsverletzung von Canonical in seiner Forum-Datenbank der Fall war.
Am Freitag, den 14. Juli, wurde die Datenbank der Ubuntu-Foren von einem Hacker kompromittiert, dem es gelang, unbefugten Zugriff zu erlangen, indem er die Sicherheit durchbrach Barrieren, die eingerichtet wurden, um mit solchen Situationen umzugehen.
Canonical leitete sofort eine Untersuchung ein, um den tatsächlichen Angriffsort und die Anzahl der kompromitierten Benutzerdaten zu ermitteln. Es wurde bestätigt, dass sich jemand durch einen Angriff am 14. Juli 2016 um 20:33 UTC tatsächlich Zugriff auf die Datenbank des Forums verschafft hat, und der Angreifer war in der Lage, dies zu tun, indem er bestimmten formatierten SQL-Code in die Datenbankserver einschleuste, auf denen sich die Ubuntu-Foren befinden.
„Eingehendere Untersuchung ergab, dass es eine bekannte SQL-Injection-Schwachstelle im Forumrunner-Add-on in den Foren gab, die noch nicht gepatcht worden war“, sagte Jane Silber, CEO von Canonical. „Das gab ihnen die Möglichkeit, aus jeder Tabelle zu lesen, aber wir glauben, dass sie immer nur aus der ‚Benutzer‘-Tabelle lesen.“
Laut dem auf insights.ubuntu.com geposteten Bericht verschafften ihm die Bemühungen des Angreifers Zugang zum Lesen von allen Tischen, jedoch zu weiteren Untersuchungen das Team glauben machen, dass sie nur aus der „Benutzer“-Tabelle lesen konnten.
Dieser Zugriff ermöglichte es den Hackern, einen „Teil“ der Benutzertabelle herunterzuladen, die alles von Benutzernamen, E-Mail-Adressen sowie IPs von über zwei Millionen Benutzern enthielt, aber Canonical versicherte allen, dass keine aktiven Passwörter vorhanden waren weil die in der Tabelle gespeicherten Passwörter zufällige Zeichenfolgen waren und dass die Ubuntu-Foren das sogenannte „Single Sign On“ für Benutzeranmeldungen verwenden.
Ubuntu Linux
Der Angreifer hat die entsprechenden zufälligen Zeichenfolgen heruntergeladen, aber glücklicherweise waren diese Zeichenfolgen gesalzen. Um alle zu beruhigen, sagte Canonical, dass der Angreifer nicht in der Lage war, auf das Ubuntu-Code-Repository, den Update-Mechanismus oder ein gültiges Benutzerkennwort zuzugreifen oder Remote-SQL-Schreibzugriff auf die Datenbank zu erlangen.
Darüber hinaus war der Angreifer nicht in der Lage, Zugriff auf Folgendes zu erlangen: die Ubuntu-Foren-App, die Front-End-Server oder andere Ubuntu- oder Canonical-Dienste.
Um bestimmte Verstöße in Zukunft zu verhindern, installierte Canonical ModSecurity in den Foren, eine Webanwendungs-Firewall, und verbesserte die Überwachung von vBulletin.