Trywialny błąd u podstaw udanego ataku na serwer OpenSSL

Po włamaniu na stronę www.openssl.org zarządzający projektem ogłosili, że do incydentu doszło z powodu hypervisora. Rozpoczęły się spekulacje co do rodzaju błędu w maszynie wirtualnej, podczas kiedy przyczyna okazała się być dużo prostsza.

Gdy ktoś włamuje się na stronę jednego z najważniejszych projektów open source, można się spodziewać, że atakujący użył wyrafinowanych metod, pokonując potrójną ścianę ognia emacsem przez sendmail. Okazuje się jednak, że w rzeczywistości zawiniło zbyt proste hasło.

Włamanie

Pięć dni temu tureccy hakerzy podmienili główną witrynę projektu OpenSSL. Tego typu incydenty nie zdarzają się zbyt często, choć spotkały już na przykład php.net i kernel.org. Główną obawą administratorów była możliwość podmienienia przez włamywaczy kodu źródłowego oprogramowania zabezpieczającego prywatność użytkowników. Osoby zarządzające projektem szybko zapewniły, że dokonały odpowiedniej weryfikacji i nic nie wskazuje na to, by włamywaczy interesowały modyfikacje kodu. Komunikat zawierał także dość enigmatyczne sformułowanie na temat sposobu przeprowadzenia ataku:

Initial investigations show that the attack was made via hypervisor through the
hosting provider and not via any vulnerability in the OS configuration.

Wstępne śledztwo wykazało, że atak został przeprowadzony za pośrednictwem
hypervisora w firmie hostingowej, a nie poprzez błąd w konfiguracji systemu
operacyjnego.

Maszyny wirtualne zagrożone?

„Atak za pośrednictwem hypervisora” oznacza najczęściej, że innemu użytkownikowi usługi tej samej firmy hostingowej udało się przejąć kontrolę nad maszyna wirtualną projektu OpenSSL. Skoro udało się w tym przypadku, to czy oznacza to, że wszystkie wirtualne maszyny korzystające z tej samej platformy wirtualizacyjnej sa zagrożone? Wyobraźcie sobie tylko, co by było, gdyby odkryto błąd umożliwiający np. przejęcie wszystkich serwerów wirtualnych znajdujących się na tej samej fizycznej maszynie w serwerowniach OVH czy Home.pl – to gotowy scenariusz małej apokalipsy. Nic więc dziwnego, że krótko po opublikowaniu przez OpenSSL odezwało się VMWare, producent jednego z najpopularniejszych systemów wirtualizacyjnych i oświadczyło, że pomagało w ustaleniu przyczyn włamania i nie znalazło żadnego błędu w swoim oprogramowaniu.

A tak naprawdę chodziło o słabe hasło

Wobec takiego komunikatu VMWare internauci zaczęli się z kolei zastanawiać, czy oznacza to, ze komunikat OpenSSL jest nieprawdziwy, czy też może firma hostingowa, z usług której korzysta OpenSSL, używała innej platformy do wirtualizacji. Na szczęście na stronie OpenSSL pojawiła się aktualizacja komunikatu o przyczynach włamania, która rozwiała te wątpliwości.

Our investigation found that the attack was made through insecure passwords
at the hosting provider, leading to control of the hypervisor management console,
which then was used to manipulate our virtual server.

Nasze śledztwo wykazało, że atak wykorzystał słabe hasło konsoli zarządzającej
hypervisora w firmie hostingowej, która została użyta do manipulacji naszym
wirtualnym serwerem.

Z wielkiej chmury mały deszcz. Adminsitratorzy firm hostingowych moga spać spokojnie, tureccy hakerzy nie wynaleźli znienacka 0daya na ESXi. Cały internet odetchnął z ulgą, a autorzy pierwszego komunikatu o przyczynach włamania mogą następnym razem zastanowić się nad jego brzmieniem przed publikacją.

PS. Jak pewnie mieliście już okazję zauważyć, rzadko używamy słów obcojęzycznych, jeśli istnieją ich polskie odpowiedniki. W artykule świadomie używamy formy „hypervisor”, ponieważ polską wersję „hipernadzorca” pierwszy raz w życiu usłyszeliśmy przy okazji pisania tego artykułu.

PPS. Mimo wielu obietnic ciągle nie wiemy, jak doszło do włamania na php.net i kernel.org.