Hackers kraken twee FreeBSD Project app-dev-servers

Hackers hebben twee servers die door het FreeBSD-project worden gebruikt voor het bouwen van softwarepakketten van derden in gevaar gebracht. Iedereen die dergelijke pakketten sinds 19 september heeft geïnstalleerd, moet zijn machines volledig opnieuw installeren, waarschuwde het beveiligingsteam van het project.

Op vrijdag 11 november werden intrusies op twee machines binnen het FreeBSD.org-cluster ontdekt, meldde het Beveiligingsteam van FreeBSD op zaterdag. "De betrokken machines zijn offline gehaald voor analyse en bovendien is een groot deel van de resterende infrastructuurmachines uit voorzorg ook offline gehaald", meldde een bericht op de mailinglijst van de openbare aankondigingen van het project.

De twee gecompromitteerde servers fungeerden als knooppunten voor de verouderde pakketopbouwinfrastructuur van het project, zei het FreeBSD-project in een advies op zijn website.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Het incident heeft alleen de collectie beïnvloed van softwarepakketten van derden gedistribueerd door het project en niet de "basis" -componenten van het besturingssysteem, zoals de kernel, systeembibliotheken, compilator of kernopdrachtregelprogramma's.

Het FreeBSD-beveiligingsteam is van mening dat de indringers toegang hebben gekregen tot de servers die een legitieme SSH-authenticatiesleutel gebruiken die van een ontwikkelaar is gestolen, en niet door een kwetsbaarheid in het besturingssysteem te misbruiken.

Hoewel het team geen enkel bewijs vond voor de thi rd-party softwarepakketten die door de hackers worden aangepast, kunnen deze mogelijkheid niet uitsluiten.

"We kunnen helaas niet de integriteit garanderen van pakketten die beschikbaar zijn voor installatie tussen 19 september 2012 en 11 november 2012, of van poorten die zijn samengesteld uit bomen die zijn verkregen via andere middelen dan via svn.freebsd.org of een van de mirrors, "zei het team. "Hoewel we geen aanwijzingen hebben dat er knoeien plaatsvond en geloven dat dergelijke interferentie onwaarschijnlijk is, moeten we aanbevelen dat u overweegt om een ​​machine opnieuw te installeren met vertrouwde bronnen."

De setsets die momenteel beschikbaar zijn voor alle versies van FreeBSD zijn zijn gevalideerd en geen van deze wijzigingen is op enigerlei wijze gewijzigd, aldus het team.

Als gevolg van het incident plant het FreeBSD-project het proces om oude distributiediensten te laten verdwijnen, zoals die op basis van CVSup, ten gunste van het robuustere Subversion-systeem. Het advies bevat verschillende aanbevelingen over de hulpmiddelen die gebruikers en ontwikkelaars moeten gebruiken voor updates, broncodekopiëren en ondertekende binaire distributie.

Dit is niet de eerste keer dat een open-source softwareproject te maken krijgt met een inbraak vanwege aangetaste SSH-authenticatie sleutels. In augustus 2009 moest het Apache-project zijn primaire web- en spiegelservers afsluiten nadat hij ontdekte dat hackers een SSH-sleutel gebruikten die was gekoppeld aan een geautomatiseerd back-upaccount om kwaadaardige code te uploaden en uit te voeren op sommige servers.

"Dit is een hartelijke herinnering dat een ketting slechts zo sterk is als de zwakste schakel, "zei Paul Ducklin, hoofd van de technologie voor Asia Pacific bij antivirusleverancier Sophos, in een blogpost op zondag. "Vergeet vooral niet dat de beveiliging van uw interne systemen misschien niet beter is dan de beveiliging van alle externe systemen waarvan u externe toegang accepteert, of dit nu servers, laptops of zelfs mobiele apparaten zijn."