Kernel.org fue comprometido

01/09/2011, 14:54
Autor:Sergio Valentino González Arredondo

Pues uno (o varios) de los servidores de Kernel.org, ha(n) sido comprometido(s), como se puede leer en el home de la propia web:

Los atacantes lograron hacerse con el control de la cuenta root en uno de sus servidores.
El acceso inicial parece que se logro realizar mediante claves SSH legítimas, las cuales fueron robadas de usuarios que tenían acceso al sistema.
Ya dentro, emplearon un exploit para conseguir acceso como root.
Al equipo se le añadió un troyano para asegurar el acceso.
Parece fue 'troyanizaron' el servicio OpenSSH, tanto el servidor como los clientes y no sedescarta que todo aquel que haya hecho una conexión ssh DESDE el servidor comprometido haya comprometido el host al que conectaba.
Esto logro ser descubierto por un mensaje de error de /dev/memde Xnest esto sin tener Xnest instalado en el servidor.

Hasta ahorita los administradores de Kernel.org aseguran que es poco probable (según ellos imposible) que se haya logrado introducir código malicioso en alguna versión del kernel que haya estado accesible para descarga.

El como aseguran que haya sido imposible el violar la integridad del kernel, es debido a la forma en la que trabaja GIT, la cual incorpora mecanismos criptográficos de validación (hashes) en los archivos que gestiona por lo que, a priori y cualquier modificación 'extraña' hubiese sido detectada inmediatamente.

Aun así, la información es provisional ya que están en proceso de investigación del incidente.

Comentarios (0)

Alcance Libre: http://www.alcancelibre.org/article.php/20110901095416903