Злоумышленники взломали самый популярный хостинг OpenSource-проектов
В четверг 27 января старейший портал для хостинга OpenSource-проектов SourceForge.net временно приостановил предоставление части сервисов (CVS, веб-доступ к исходным текстам ViewVC, возможность загрузки новых релизов, удаленный терминальный доступ). На следующий день, 28 января, зарегистрированным пользователям SourceForge.net пришло уведомление по электронной почте с уведомлением о том, что их пароли были сброшены.
Подробный отчет о вторжении по итогам “первого раунда анализа” администраторы SourceForge.net опубликовали в субботу 29 января. Впервые факт вторжения удалось обнаружить в среду 26 числа: по-видимому, атаке были в первую очередь подвержены серверы, на которых работала система управления версиями ПО CVS. Однако следы вторжения удалось обнаружить и на других серверах, обслуживающих портал.
Согласно сведениям SourceForge, общая последовательность атаки “была вполне стандартной”: “Все началось с повышения привилегий до уровня суперпользователя на одной из наших платформ, что позволило злоумышленнику получить аутентификационные данные, которые были затем использованы для доступа к машинам с активированным SSH-интерфейсом”. Однако сегментированная архитектура внутренней сети SourceForge позволила предотвратить распространение атаки на другие зоны сети. Именно в этот момент администраторы SourceForge обнаружили атаку.
Отключение части сервисов портала было предпринято для того, чтобы снизить вероятность распространения атаки. Что же касается сброса пользовательских паролей, то он был обусловлен обнаружением модифицированного сервера SSH, который был запрограммирован на сбор пользовательских паролей: “У нас нет оснований полагать, что взломщик преуспел в сборе паролей, – сообщается в блоге SourceForge. – Но наличие этого [модифицированного] сервера и наличие доступа к размещенным на сервере односторонне захэшированным и зашифрованным данным побудили нас принять превентивные меры и сбросить все пароли пользователей SourceForge”.
Помимо срочных мер, администраторы SourceForge приступили к анализу изменений, произошедших за время вторжения. “Лучше перестраховаться, чем сожалеть впоследствии, – сообщается в блоге, – поэтому мы решили провести широкомасштабную проверку данных проекта: от релизов файлов до новых добавлений в SCM”. Данные планируется сравнить с резервными копиями, записанными до вторжения, и при обнаружении подозрительных мест администраторы SourceForge свяжутся с конкретными проектными командами.
По мере завершения проверки данных серверы SourceForge возвращаются к нормальной работе.
Однако уже совершенно ясно, что в дальнейшем архитектура безопасности SourceForge станет более строгой: “В большинстве случаев, решения в прошлом принимались исходя из общего принципа доверия к разработчикам ПО с открытым кодом, которые работают вместе, играют по правилам и в целом делают то, что надо”, – сообщается в блоге. Но сегодня “наступило время пересмотреть баланс между всеобщим доверием и безопасностью”. Администраторы уже приступили к разворачиванию нового варианта веб-интерфейса доступа к исходным текстам “secure project web”, основанного на защищенной архитектуре. Кроме того, рассматривается вариант отказа от использования старой системы управления версиями CVS, которая обладает архитектурными ограничениями и с трудом поддается масштабированию. Администраторы SourceForge рекомендуют пользователям перейти на альтернативные системы SVN и Git.
© CNews