Algunos posiblemente se estén preguntando qué ha podido fallar. En un principio uno podría pensar en una vulnerabilidad hallada en el sistema operativo, pero nada más lejos de la realidad, ya que el origen de todo es que a la compañía se le pasó aplicar un parche que ya estaba disponible, por lo que una vulnerabilidad quedó expuesta para quien pudiese explotarla. Dicho de otra manera, fue un fallo de la empresa a la hora de abordar una vulnerabilidad que estaba resuelta.

Jane Silber, CEO de Canonical, ha tenido que dar la cara por la compañía y pedir disculpas diciendo lo siguiente:

Ha habido una brecha de seguridad en el sitio web de los foros de Ubuntu. Nos tomamos muy en serio la seguridad de la información y la privacidad de los usuarios, siguiendo un estricto conjunto de prácticas de seguridad y este incidente ha iniciado una investigación a fondo. Las medidas correctivas ya han sido tomadas y el servicio de los foros ya ha sido restaurado en su totalidad. En interés de la transparencia, compartiremos todos los detalles de la brecha de seguridad y las medidas tomadas. Pedimos disculpas por la brecha de seguridad y por los inconvenientes causados.

Tiempo después, Jane Silber explicaba lo siguiente:

Después de una investigación inicial, podemos confirmar que ha habido una exposición de datos y hemos cerrado los foros como medida de precaución. En una investigación más profunda hemos averiguado que había una conocida vulnerabilidad de inyección de SQL en el complemento Forumrunner que no había sido parcheada todavía.

Siguiendo con su intención de ofrecer transparencia total, también ha publicado a qué ha tenido acceso y a qué no las personas que han atacado los foros de Ubuntu.

A lo que han tenido acceso:

  • Los atacantes han tenido la capacidad de inyectar cierto código SQL formateado a la base de datos de los foros sobre el servidor de bases de datos. Esto les dio la capaciad de leer cualquier tabla, pero desde Canonical creen que solo han podido leer la tabla “usuario”.
  • Los atacantes han utilizado este acceso para descargar porciones de la tabla usuario que contiene nombres de usuario, direcciones de email y direcciones IP de 2 millones de usuarios. No se han detectado accesos a las contraseñas, que están almacenadas en esa tabla a modo de cadenas de caracteres aleatorias debido a que los foros de Ubuntu confían en el acceso a través de Ubuntu Single Sign On, por lo que los atacantes solo han podido tener acceso a las unas cadenas sobre las cuales se ha aplicado hash y sal.

A lo que NO han tenido acceso:

  • Canonical sabe que los atacantes no han podido tener acceso a ninguno de los repositorios principales de Ubuntu o al mecanismo de actualización.
  • Canonical sabe que los atacantes no han podido acceder a través de contraseñas válidas de usuario.
  • Canonical cree que los atacantes no fueron capaces de escalar un acceso de lectura remota de SQL a la base de datos de los foros en el servidor de bases de datos.
  • Canonical cree que los atacantes no fueron capaces de obtener acceso remoto para escribir SQL en el servidor de la base de datos.
  • Canonical cree que los atacantes no fueron capaces de obtener acceso a la shell sobre ninguna de las aplicaciones del foro o el servidor de la base de datos.
  • Canonical cree que los atacantes no fueron capaces de acceder en absoluto a los servidores frontend del foro.
  • Canonical cree que los atacantes que no fueron capaces de acceder a ningún otro servicio de Canonical o Ubuntu a través de este ataque.

Según la información suministrada por Canonical hasta ahora, las contraseñas de los usuarios no han sido comprometidas. Pese a todo sería recomendable cambiar la contraseña utilizada para los foros de Ubuntu y en todos los sitios web donde se use la misma.

No es la primera vez que los foros de Ubuntu son hackeados, ya que en 2013 también fueron víctimas de otro ataque en el cual se comprometió un número similar de cuentas, pero con consecuencias más graves debido a que las contraseñas no estaban aseguradas como deberían.

 

Fuente: Betanews | muyseguridad