¿Cómo fue el ataque a los servidores de Ubuntu?

Canonical anunció el 21 de julio que el servidor de los foros de la comunidad fue hackeado. La información robada incluía cuentas de correo electrónico y hashes de contraseñas para el acceso a los foros.

El hacker que logró ingresar al servidor utilizó una cuenta de moderador de los foros y accedió el 14 de julio. Lo que no se sabe es cómo consiguió esa cuenta que es la que posee los privilegios para publicar contenido HTML sin filtrar, de esta forma hizo de los foros una trampa para los usuarios.

Ataque Ubuntu 1

Cualquier usuario que se conectará a los foros ejecutaría el código incrustado en su navegador. El objetivo principal de esta tarea era extraer cookies de las sesiones de las cuentas más privilegiadas para aprovechar esos datos.

Pero el ataque no se detuvo, luego el hacker le envío mensajes a tres administradores y les avisó que había un error de servidor en la página de los comunicados, invitándolos a revisar lo que sucedía. Uno de los administradores ingresó a la página, no encontró nada extraño y respondió. Con esto le permitió al atacante nuevos privilegios en vBulletin.

Este nuevo acceso permitió ampliar aún más el rango del ataque. Subió dos shells en PHP y realizó un volcado de la base de datos de los foros. Luego, ingresó una vez más el día 20 de julio para cambiar la página de inicio y reivindicar el ataque que llevo adelante.

Ataque Ubuntu 2(1)

El tipo de ataque llevado a cabo en los foros de Ubuntu demuestra algunos aspectos interesantes de ingeniería social. Los administradores cayeron en la trampa de un mensaje que parecía casual y realista. La subida de un shell y el volcado de la base de datos, los últimos puntos del ataque, con más tradicionales, en definitiva el objetivo final. Pero es interesante trazar como llegó hasta el interior de los foros de Ubuntu.

Dejar respuesta

Please enter your comment!
Please enter your name here