Взломан официальный форум проекта Ubuntu [Решено]

Компания Canonical сообщила о взломе официального форума дистрибутива Ubuntu - ubuntuforums.org. В результате инцидента атакующие смогли получить доступ к СУБД и выполнить произвольные SQL-запросы к БД форума. 14 июля в компанию Canonical поступило уведомление от участников форума о том, что один из пользователей небездоказательно заявил о наличии копии БД сайта. Проверка подтвердила, что имела место утечка данных.

Атака была совершена через неисправленную уязвимость вовремя необновлённом дополнении Forumrunner к используемому на форуме движку vBulletin. Уязвимость позволяла выполнить произвольный SQL-код, чем и воспользовался атакующий для загрузки содержимого таблиц с параметрами пользователей и логами, включающими IP-адреса участников обсуждений. Всего утечка затронула персональные данные примерно 2 млн пользователей форума.

Примечательно, что ровно три года назад, 14 июля 2013 года произошёл аналогичный инцидент, в результате которого злоумышленники воспользовались уязвимостью в форумном движке vBulletin для загрузки базы пользователей. В процессе восстановления прошлого взлома, разработчики перевели форум на использование централизованной аутентификации через сервис Ubuntu Single Sign On, поэтому при нынешнем взломе атакующие смогли добраться только до таблицы с такими параметрами как имя и email, не содержащей реальные хэши паролей (в таблице вместо хэшей от паролей были сохранены хэши от случайных строк).

В настоящее время работа форума восстановлена из резервной копии, уязвимость устранена и предприняты меры по увеличению безопасности. В частности, для блокирования возможных атак установлен модуль ModSecurity. Также организовано отслеживание своевременной установки исправлений к vBulletin.

Отмечается, что администраторы форума уверены в том, что атакующие не смогли получить доступ к репозиториям Ubuntu, механизму обновлений и реальным паролям пользователей. С меньшей долей уверенности (в заявлении использована формулировка "мы полагаем") заявлено о том, что атака ограничилась чтением данных из СУБД и не затронула другие сервисы Canonical и Ubuntu, а атакующие не модифицировали данные в БД и не получили shell-доступ на серверах с сайтом и СУБД.

Взято отсюда.