édito

Bienvenue sur ce blog, point de chute des différentes informations ayant trait à la sécurité ou à la filière STI de l'ensib et remontées aux ensibiens par un désormais ingénieur sécurité junior (et oui, c'est la 3A).
Si d'autres ensibiens dans le cadre d'une veille liée à leur job [ou pas...] veulent remonter des infos qu'ils jugent susceptibles d'intéresser notre filière, n'hésitez pas à me contacter pour contribuer :)

- PiWi -    


dimanche 6 septembre 2009

c'est la rentrée dans le fort Apache

Et oui, la fondation Apache, pourtant réputée attachée à la sécurité et rigoureuse, à été infiltrée. Ils ont pris la peine (souvent douloureuse à annoncer) de faire toute la transparence sur l'incident pour que, disent ils, les autres apprennent aussi de leurs erreurs. Le déroulement de l'attaque est assez astucieux et je vous invite à lire l'article complet sur the register, pour les fainéants voici un résumé:
  • L'attaque débute par la compromission du serveur apachecon.com. Surement par l'exploitation des quelques failles noyaux permettant de passer root localement et dont les patchs tout récents (7jours) n'avaient pas encore été appliqués. Surement, car ce n'est qu'une supposition, les logs ont été détruits.
  • Une fois root, il aurait utilisé la clé SSH d'un compte de backup pour se connecter à people.apache.org
  • Partie intéressante de l'attaque, le pirate n'ayant qu'un compte limité, a déposé des scripts CGI à la racine de certains site permettant d'ouvrir un shell, etc...
  • Il n'a alors plus eu qu'a attendre la procédure de backup. cette dernière s'est chargée de copier les scripts sur les serveurs de prod, ce que lui ne pouvait pas faire... (oh le fourbe)
  • Une fois sur les serveurs de prod, les scripts se sont retrouvés directement accessibles via le net.->pwned

L'attaquant a su profiter de la fenêtre entre la sortie du patch et son application. Apache reconnait deux erreurs ayant permis cette attaque: une clé SSH commune aux machines de backup et l'utilisation d'execCGI.

Bien sur les admins, ont de suite fait les changements nécessaires et ont même renforcé un peu plus, ainsi on note:
l'ajout d'OTP (mots de passe à usage unique) pour les sudo des comptes avec des privilèges, une gestion encore plus strictes des connexions autorisées entre les machines.

Ils ont de même pu rapidement tout remettre en place grâce à l'usage de redondance dans les services et de ZFS

En tout cas on saluera leur démarche de transparence qui permet non seulement de voir ce qu'on pu faire les attaquants,comment et avec quelles conséquences, mais surtout de voir aussi qu'ils n'ont pas eu accès à des information sensibles :) .
[Il faut savoir que la fondation pratique l'hétérogénéité des systèmes, ce qui limite les élévations de privilèges et la profondeur d'une attaque. Un attaquant est obligé d'avoir des exploits nécessaires pour passer de machine en machine et encore, à condition qu'ils existent. si les systèmes utilisés sont tous les mêmes, l'attaquant n'a qu'a avoir le bon exploits, il fonctionnera partout.]
Publié par
Libellés : , ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)