Bucato il forum di Ubuntu

ubuntu-logo

Spesso i sistemi Linux vengono considerati infallibili e, se è vero che di base tendono ad offrire maggiore sicurezza, è anche vero che la storia insegna che nessun software è esente da problemi.

Qualche giorno fa lo hanno imparato a loro spese gli amministratori del forum di Ubuntu, annunciando di essere stati bucati. L’importante è ricordare che non è il sistema operativo a soffrire di una qualche debolezza, ma che il problema risiedeva sul software che gestisce il forum. E, la base dello stesso attacco, è stata la mancanza di patching da parte di Canonical.

There has been a security breach on the Ubuntu Forums site. We take information security and user privacy very seriously, follow a strict set of security practices and this incident has triggered a thorough investigation. Corrective action has been taken, and full service of the Forums has been restored. In the interest of transparency, we’d like to share the details of the breach and what steps have been taken. We apologize for the breach and ensuing inconvenience

C’è stata una violazione di sicurezza sul sito del Forum di Ubuntu. Consideriamo la sicurezza e la privacy dell’utente molto seriamente, seguendo uno stringente gruppo di regole di sicurezza e questo incidente ha scatenato una serie di profonde ricerche. Azioni correttive sono state prese, e l’intero servizio del forum è stato ripristinato. Nell’interesse della trasparenza, vogliamo condividere i dettagli della violazione ed i passi intrapresi. Ci scusiamo per la violazione ed il conseguente disagio

Questo quanto detto da Jane Silver, CEO di Canonical, che continua spiegando i dettagli:

after some initial investigation, we were able to confirm there had been an exposure of data and shut down the Forums as a precautionary measure. Deeper investigation revealed that there was a known SQL injection vulnerability in the Forumrunner add-on in the Forums which had not yet been patched

Dopo alcune indagini iniziali, possiamo confermare che c’è stata un’esposizione di dati, ed il forum è stato spento in misura precauzionale. Ricerche più approfondite hanno rivelatola presenza di una vulnerabilità conosciuta di SQL Injection nell’addon Forumrunner presente nel forum, che non era stata ancora patchata

“Chi è causa del suo mal pianga se stesso” recitava il detto, sembra quindi che il problema sia da imputare ad un errore umano. In ogni caso, questo quello a cui gli attaccanti hanno potuto accedere:

  • La vulnerabilità permetteva di iniettare del codice SQL nel database del forum, dando la possibilità agli attaccanti di leggere da qualsiasi tabella, ma Canonical crede che abbiano letto solo dalla tabella ‘user’.
  • L’accesso è stato utilizzato per scaricare porzioni della tabella in questione che contiene nomi, indirizzi email ed IP di 2 milioni di utenti. Nessuna password attualmente attiva è stata acceduta, le password presenti in questa tabella sono delle stringhe casuali poiché il forum Ubuntu fa affidamento sul SSO (Single Sign On) Ubuntu per le login. Gli attaccanti hanno scaricato queste stringhe random.

E, di conseguenza, la lista di cosa non è stato toccato dagli attaccanti:

  • E’ certo che non ci sia stato nessun accesso ai repository dei codici Ubuntu o del meccanismo di update
  • Si è anche sicuri che gli attaccanti non hanno potuto ottenere alcuna password
  • Si crede che non siano stati in grado di fare escalation sui permessi di lettura remota del database accedendo così all’OS sui server
  • Pare che gli attaccanti non siano riusciti ad ottenere accesso in scrittura al database
  • Inoltre, nessun accesso shell è stato possibile sui server che gestiscono il forum o i database, così come ai frontend
  • Nessun altro sistema o servizio di Canonical è stato intaccato

Se siete iscritti al forum Ubuntu, quindi, sembrerebbe che l’unica cosa che possa capitare è di ricevere un po’ di spam, possiamo tirare un respiro di sollievo.

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

2 risposte a “Bucato il forum di Ubuntu”

  1. Avatar ED-209
    ED-209

    Noi iscritti solamente su Ubuntu italia, siamo fuori dalla questione vero???????? Oppure quando ci si iscrive a Ubuntu Italia si viene automaticamente iscritti al forum principale di Ubuntu???????????

  2. Avatar matteocappadonna
    matteocappadonna

    Il problema è stato sul database del forum, che contiene username, email e stringa randomica degli utenti *iscritti al forum*. Canonical afferma che gli altri servizi (come il SSO, al quale sarai registrato essendoti iscritto ad Ubuntu Italia). Quindi, teoricamente, non dovresti avere problemi con il tuo account registrato su Ubuntu Italia!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *