Luce sugli attacchi ai server RedHat
Il 14 agosto scorso alcuni dei server di RedHat hanno subito dei pesanti attacchi con accessi non autorizzati e, per questo motivo, sono stati messi offline per qualche giorno (ho personalmente avuto problemi nell’aggiornamento del codice sorgente di alcuni progetti per tutta la mattinata del 18 Agosto).
In questi giorni i responsabili della società stanno cercando di far luce e assicurare gli utenti su quanto di “malevolo” è stato fatto e se ci possa essere qualche pericolo per l’utente finale.
Il sospetto è che alcuni pacchetti RPM, quelli che nelle distribuzioni RedHat based (quindi CentOS, RHEL e Fedora) sono usati per installare software e componenti, possano essere stati in qualche modo compromessi.
In particolare, per quello che riguarda la distruzione concepita per i desktop degli utenti “casalinghi”, Fedora, si è esposto con alcune dichiarazioni direttamente il project manager del progetto, Paul Frields.
“The intrusion into the servers was quickly discovered, and the servers were taken offline. … One of the compromised Fedora servers was a system used for signing Fedora packages”
Contrariamente a quanto annunciato inizialmente dallo stesso Frields, cioè che tutti i server avessero subito una manomissione, ora l’entità dell’attacco è stata ridimensionata e sembra che siano solo pochi i server coinvolti. In particolare sembra che uno dei server interessati sia quello usato per la certificazione dei pacchetti (per firmare con una chiave GPG che garantisce che il pacchetto in questione è sicuro e può essere installato).
Proprio per questo motivo il consiglio che viene dato, soprattutto per quello che riguarda le distribuzioni server usate in molte grosse imprese, è di NON aggiornare il sistema operativo finchè non si avrà un quadro completo di quanto accaduto.
Per il momento viene esclusa la possibilità che possano essere state rubate password di account sensibili o che la chiave usata per il sign dei pacchetti possa essere stata compromessa. In forma cautelare RedHat ha comunque deciso di cambiare la chiave in ogni caso.
In una note RedHat ha poi fatto sapere che l’attacco “peggiore” è stato inflitto ai propri server. Ovviamente, in questo le distribuzioni RedHat Enterprise vengono usate in parecchi ambienti di produzione, è molto più appetibile poter accedere in modo fraudolento a queste macchine, piuttosto che a quelle di un utente domestico.
In particolare gli Hacker sono riusciti a manomettere il pacchetto OpenSSH (quello che viene usato per accedere ad una macchina via SSH e che quindi, se fatto con utenza di root, da il pieno controllo della macchina stessa), ricertificandolo e uplodandolo nel sistema. Cosa che ovviamente, se non fosse stata scoperta, avrebbe potuto creare un enorme problema di vulnerabilità.
RedHat ha comunque rilasciato prontamente informazioni al riguardo che permettono di scovare se la propria macchina è stata aggiornata con il pacchetto incriminato ed escludere tale pacchetto da eventuali futuri aggiornamenti.
Tutte le informazioni sono reperibili sul sito di RedHat.
Ora non resta che attendere che completino i controlli e sperare che chiudano un po’ meglio tutte le porte vulnerabili.
Secondo me è stato qualche programmatore di Debian risentito dalle critiche fatte qualche tempo fa sulla vulnerabilità dello stesso pacchetto OpenSSH dei loro sistemi! 😀 (lì la storia era un po’ diversa e veniva proprio da una svista di un programmatore).
Via | Information Week Security