Trywialny błąd u podstaw udanego ataku na serwer OpenSSL

dodał 3 stycznia 2014 o 21:17 w kategorii Włamania  z tagami:
Trywialny błąd u podstaw udanego ataku na serwer OpenSSL

Po włamaniu na stronę www.openssl.org zarządzający projektem ogłosili, że do incydentu doszło z powodu hypervisora. Rozpoczęły się spekulacje co do rodzaju błędu w maszynie wirtualnej, podczas kiedy przyczyna okazała się być dużo prostsza.

Gdy ktoś włamuje się na stronę jednego z najważniejszych projektów open source, można się spodziewać, że atakujący użył wyrafinowanych metod, pokonując potrójną ścianę ognia emacsem przez sendmail. Okazuje się jednak, że w rzeczywistości zawiniło zbyt proste hasło.

Włamanie

Pięć dni temu tureccy hakerzy podmienili główną witrynę projektu OpenSSL. Tego typu incydenty nie zdarzają się zbyt często, choć spotkały już na przykład php.net i kernel.org. Główną obawą administratorów była możliwość podmienienia przez włamywaczy kodu źródłowego oprogramowania zabezpieczającego prywatność użytkowników. Osoby zarządzające projektem szybko zapewniły, że dokonały odpowiedniej weryfikacji i nic nie wskazuje na to, by włamywaczy interesowały modyfikacje kodu. Komunikat zawierał także dość enigmatyczne sformułowanie na temat sposobu przeprowadzenia ataku:

Maszyny wirtualne zagrożone?

„Atak za pośrednictwem hypervisora” oznacza najczęściej, że innemu użytkownikowi usługi tej samej firmy hostingowej udało się przejąć kontrolę nad maszyna wirtualną projektu OpenSSL. Skoro udało się w tym przypadku, to czy oznacza to, że wszystkie wirtualne maszyny korzystające z tej samej platformy wirtualizacyjnej sa zagrożone? Wyobraźcie sobie tylko, co by było, gdyby odkryto błąd umożliwiający np. przejęcie wszystkich serwerów wirtualnych znajdujących się na tej samej fizycznej maszynie w serwerowniach OVH czy Home.pl – to gotowy scenariusz małej apokalipsy. Nic więc dziwnego, że krótko po opublikowaniu przez OpenSSL odezwało się VMWare, producent jednego z najpopularniejszych systemów wirtualizacyjnych i oświadczyło, że pomagało w ustaleniu przyczyn włamania i nie znalazło żadnego błędu w swoim oprogramowaniu.

A tak naprawdę chodziło o słabe hasło

Wobec takiego komunikatu VMWare internauci zaczęli się z kolei zastanawiać, czy oznacza to, ze komunikat OpenSSL jest nieprawdziwy, czy też może firma hostingowa, z usług której korzysta OpenSSL, używała innej platformy do wirtualizacji. Na szczęście na stronie OpenSSL pojawiła się aktualizacja komunikatu o przyczynach włamania, która rozwiała te wątpliwości.

Z wielkiej chmury mały deszcz. Adminsitratorzy firm hostingowych moga spać spokojnie, tureccy hakerzy nie wynaleźli znienacka 0daya na ESXi. Cały internet odetchnął z ulgą, a autorzy pierwszego komunikatu o przyczynach włamania mogą następnym razem zastanowić się nad jego brzmieniem przed publikacją.

PS. Jak pewnie mieliście już okazję zauważyć, rzadko używamy słów obcojęzycznych, jeśli istnieją ich polskie odpowiedniki. W artykule świadomie używamy formy „hypervisor”, ponieważ polską wersję „hipernadzorca” pierwszy raz w życiu usłyszeliśmy przy okazji pisania tego artykułu.

PPS. Mimo wielu obietnic ciągle nie wiemy, jak doszło do włamania na php.net i kernel.org.