Sicherheit : Einbruch in den Ubuntu-Foren

, 39 Kommentare
Sicherheit: Einbruch in den Ubuntu-Foren
Bild: reynermedia (CC BY 2.0)

Canonical CEO Jane Silber informiert auf der Webseite Insights Ubuntu über einen Einbruch in den Ubuntu-Foren. Die Foren wurden am Abend des 14. Juli zeitweilig vom Netz genommen, sind aber mittlerweile wieder erreichbar. Es wurden Daten von rund zwei Millionen Forenmitgliedern entwendet.

Der Einbruch wurde am 14. Juli um 20:33 entdeckt, als Canonicals Internet Security Team von einem Mitglied des Ubuntu Forums Council informiert wurde, dass jemand behaupte, eine Kopie der Forendatenbank zu besitzen. Kurz darauf konnte bestätigt werden, dass Daten an die Öffentlichkeit gelangt waren. Als vorbeugende Maßnahme wurden die Foren vom Netz genommen.

Nach weiteren Untersuchungen stellte sich heraus, dass das Foren-Addon Forumrunner eine bekannte, aber noch ungepatchte Lücke aufwies, die eine SQL-Injection ermöglichte. Bisher sieht es so aus, als habe der Angreifer Zugriff auf alle Datenbanken gehabt, aber nur auf die User-Datenbank zugegriffen. Teile dieser Datenbank wurden heruntergeladen, wobei von zwei Millionen Nutzern die Nutzernamen, E-Mail-Adressen und IPs betroffen sind.

Zugriff auf die User-Datenbank beschränkt

Aktive Passwörter waren laut Silber nicht betroffen, auch wenn der Angreifer Passwort-Strings herunterlud. Die in dieser Datenbank gespeicherten Passwörter waren zufällige Strings, da die Ubuntu-Foren das OpenID-basierte Ubuntu Single Sign On zum Anmelden benutzen. Die entwendeten Strings waren sowohl gehashed als auch gesalzen. Silber stellt klar, das keinerlei Zugriff auf Code-Repositories oder Update-Mechanismen bestand. Weiterhin bestand kein Zugriff auf eine Shell der Foren-Applikation oder der Datenbankserver. Auch die Frontend-Server der Foren waren nicht betroffen.

Erste Maßnahmen

Die Inhalte der Server, die mit der Community-Software vBulletin laufen, wurden gesichert, gelöscht und sauber neu aufgesetzt. Die Software wurde daraufhin auf das aktuelle Patchlevel gebracht. Alles System- und Datenbankpasswörter wurden erneuert. Zusätzlich wurde das Apache-Modul ModSecurity als Firewall – die auf der Anwendungsebene arbeitet – installiert, um ein zusätzliches Sicherheitsnetz zu spannen. Außerdem wurde das Monitoring von vBulletin verbessert, um sicherzustellen, das Sicherheitspatches zeitnah eingespielt werden.