El sitio web de la distribución Linux Mint ha sido atacada

Linux Mint es una de las distribuciones Linux más conocidas que existen. Derivada de la mismísima Ubuntu, intenta darle un giro de tuerca al concepto manejado por el sistema de Canonical, añadiendo al mismo componentes que la dejan lista para producir nada más ser instalada. Además añade su propia interfaz gráfica, Cinnamon, la cual ha cosechado muchos elogios en el mundillo de Linux en los últimos tiempos.

Sin embargo el sitio web de Linux Mint ha sido recientemente atacada por unos hackers. Según nos informan nuestros compañeros de MuyLinux, este ha afectado a la base de datos y a las imágenes ISO del propio sistema operativo.

Las imágenes ISO de Linux Mint 17.3 descargadas el pasado 20 de febrero contienen una puerta trasera cuyas consecuencias pueden ser nefastas. Según lo descubierto hasta ahora, parece que esa ha sido la única versión del sistema operativo afectada, salvándose aquellos que descargaron a través de torrent en lugar del sitio web.

¿Cómo comprobar si la imagen ISO de Linux Mint 17.3 es legítima?

Para comprobar desde Linux que una imagen de Linux Mint 17.3 es legítima solo hay que ejecutar el siguiente comando sobre la imagen ISO supuestamente afectada:

md5sum filename.iso

Si la ejecución del comando devuelve estas firmas significa que la imagen ISO es correcta:

6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

En caso de que el usuario haya instalado una imagen ISO que no es legítima, tiene que seguir los siguientes pasos:

Desconectar el sistema de Internet.
Cambiar las contraseñas más sensibles, especialmente la del correo electrónico.
Hacer las copias de seguridad que se necesiten y reinstalar el sistema con una imagen verificada.

El backdoor introducido es Tsunami, que permite acceder al sistema a través de servidores IRC. Se trata de un conocido troyano para Linux que realiza las funciones de un bot IRC para lanzar ataques DDoS.

La base de datos ha sido copiada y puesta en venta

Los hackers no se han quedado contentos solo con adulterar las imágenes ISO, sino que también han realizado una copia de toda la base de datos del foro de Linux Mint. Como uno se puede imaginar, los hackers se han hecho con emails, nombres de usuario, contraseñas cifradas y otros datos personales que los usuarios hayan puesto en sus perfiles.

Para subsanar esto solo hay una solución, cambiar la contraseña cuanto antes en ese sitio web y en otros donde se utilice la misma.

Además de copiada, la base de datos también ha sido puesta en venta por los mismos atacantes a través de un anuncio en Twitter por el ridículo precio de 85 dólares.

Un bug de seguridad en WordPress, el origen de todo

El origen del ataque está en un bug de seguridad localizado en WordPress, que permitía el acceso a través de shell con el usuario www-data.

La rápida actuación de los mantenedores del sitio web ha impedido que las cosas fueran a más, descubriendo un servidor FTP malicioso alojado en Bulgaria con la IP 5.104.175.212.

Un punto de inflexión para el proyecto

Este ataque tendría que ser todo un aviso para los mantenedores de un proyecto que ha crecido bastante en los últimos años, ganando muchos adeptos y siendo desde hace años la distribución número 1 en Distrowatch.

Por este motivo, los mantenedores del sitios web tendrían que estar más atentos ante los bugs presentes en los CMS empleados para su construcción, además de empezar a utilizar HTTPS para garantizar la seguridad y privacidad de las conexiones.

Fuente: muyseguridad

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -