Comprometidos servidores de Fedora y Red Hat

Enviado por admin el 22 Agosto 2008 - 7:33pm

Seguridad

Red Hat acaba de confirmar que varios de sus servidores resultaron comprometidos por un atacante la semana pasada. El intruso logró firmar varios paquetes de OpenSSH para diversas versiones de Red Hat Entreprise Linux. Los paquetes afectados ya han sido sustituidos, pero Red Hat provee a sus usuarios de un script para permitirles comprobar si disponen de una versión comprometida. La empresa sin embargo insiste en que quienes actualizan sus sistemas vía Red Hat Network no tienen en ningún caso de qué preocuparse.

En el caso de Fedora, uno de los servidores comprometidos (hospedados por Red Hat Inc) ha sido el que contenía la clave utilizada para firmar sus paquetes. Aunque el análisis forense del equipo ha demostrado que el intruso no pudo hacerse con la contraseña necesaria para desbloquear la clave de firma, en Fedora han procedido a sustituir la clave como medida de precaución. Fedora asegura que ningún paquete fue manipulado, pero aún así está procediendo a firmarlos con la nueva clave.

No es la primera vez que resultan comprometidos servidores de distribuciones Linux. Hace ahora justo un año, tanto Gentoo como Ubuntu sufrieron incidencias embarazosas similares...

Referencias:

Critical: openssh security update [Red Hat Security Advisory].
OpenSSH blacklist script [Red Hat].
Infrastructure report, 2008-08-22 UTC 1200 [Fedora Advisory].

747 lecturas
Twitter

Nadie esta seguro

Enviado por anónimo el 22 Agosto 2008 - 8:22pm.

La verdad que con Ubuntu o Debian, Red Hat o Fedora uno consigue cierto nivel de seguridad per se porque los ataque estan concentrados hacía Windows, sin embargo, hay gente bien tonta que migra a uno u a otro Sistema Operativo porque es más seguro cuando en algún momento uno u otro va a caer, ya veo a más de uno pasandose a OpenBSD o cualquier otra BSD pero la realidad es que uso Ubuntu o Debian porque es gratis y además abarca toda una filosofía. Windows es un producto comercial y solo sería un cliente, igual que con la Mac Os, sin embargo el pertenercer a una comunidad y desarrollar para ella le da opciones de resolver diversos problemas.

¿Cómo lo hicieron...?

Enviado por anónimo el 23 Agosto 2008 - 7:45pm.

La noticia es ciertamente chocante... Sería bueno que expliquen cómo lograron comprometer los servidores, si fue un ataque externo o interno...

Ya está???

Enviado por anónimo el 25 Agosto 2008 - 11:12am.

Que pasa nadie comenta nada más?? Joder, cuando hay un hilo sobre un fallo en Windows esto hecha humo... y ahora calladas como putas...

¿Y qué quieres oír?

Enviado por anónimo el 25 Agosto 2008 - 4:13pm.

Dime, ¿qué es lo que quieres oír? ¿Que Linux es inseguro y bla bla? No sé si te has dado cuenta de que el problema no ha sido una vulnerabilidad en un sistema Linux, sino la intrusión en servidores corporativos gracias a vaya usted qué mecanismo.

Claro que podrías iluminarnos y comentar tú algo, ya que te parece tan extraño será por que tú si tienes alguna opinión al respecto, ¿no?

Mira, ya te voy a dar yo el pie. Lo problemático es que una intrusión en un servidor que aloje los paquetes binarios de una distribución que modifique maliciosamente dichos binarios puede suponer una distribución masiva de malware mediante el sistema de paquetes Linux.

Sin embargo hay medidas de seguridad para evitar este supuesto, empezando por el asunto de la clave para firmar los paquetes. Pero como yo no sé nada más al respecto aquí lo dejo, y quien sepa más que complete si se siente con ganas.

El próximo día a ver si haces un comentario más interesante.

Aqui tienes un comentario interesante

Enviado por Andy el 25 Agosto 2008 - 6:19pm.

Hola,

El problema NO es tanto modificar paquetes binarios. Eso es fácilmente detectable.

La verdad es que los gestores de paquetes y su infraestructura de distribución son de los puntos más vulnerables de cualquier sistema Linux.

En un informe hecho público en Julio de este año, la universidad de Arizona demuestra que casi cualquiera puede montar un mirror de paquetes Linux. Un estracto del informe pone:

To give an example of how easy it is for a malicious party to obtain a mirror, we ran an experiment where we created a fake administrator and company name and leased a server from a hosting provider. We were able to get our mirror listed on every distribution we tried (Ubuntu, Fedora, OpenSuSE, CentOS, and Debian) and our mirrors were contacted by thousands of clients, even including military and government computers!

Ahora bien, si controlas un mirror puedes hacer varias cosas, la más fácil y estúpida de ellas sería modificar paquetes binarios, ya que por medio de firmas, ésto es fácilmente detectable (aunque si controlas el mirror teóricamente podrías modificar también las firmas, pero dejemos ésto de lado).

Una cosa molesta y casi indetectable que puedes hacer es simplemente retrasar la distribución de parches de seguridad críticos. De esa manera, aumentas las posibilidades de que la vulnerabilidad sea explotada por alguien más.

Eso sería algo más bién "pasivo".

Algo más atrevido sería anunciar como nuevos, paquetes viejos y con vulnerabilidades conocidas, forzando a que los clientes de ese mirror instalaran software defectuoso. Lo jodido de ésta técnica es que los paquetes son enteramente legales, con firma, suma de control y todos los requerimientos del caso, por lo que el sistema los tomaría como válidos. Sólo que son paquetes viejos en vez de nuevos.

Pero lo más grave e ingenioso que puedes hacer es aprovechar tú mismo la vulnerabilidad. Tienes el IP del servidor (porque se acaba de conectar a tu mirror). Sabes que es vulnerable (porque te esta pidiendo el parche de seguridad). Simplemente se lo das, como cualquier otro mirror, pero mientras baja el paquete, tú mismo explotas la vulnerabilidad (si se puede explotar en remoto, obviamente) y te adueñas del sistema. Si hasta tienes una conexión abierta! Minutos después la vulnerabilidad ya no existirá, pero será tarde.

Saludos,
Andy

No es para tanto

Enviado por anónimo el 25 Agosto 2008 - 3:52pm.

El problema fue detectado, anunciado, y corregido. Si fuera Windows se callarian , no lo resolverian hasta que pasara un mes o en su caso hubiera un daño a miles de servidores. Solo hay que recordar la falla de lectura y vulnerabilidad de los JPG. esa falla paso mucho tiempo para que la arreglaran a pesar de que fue anunciada muchas veces. Y es cierto ningun sistema esl 100% seguro, llamese linux, windows, o lo que sea siempre hay posibilidad de vulnerarlo.

Asi es este medio

Enviado por anónimo el 25 Agosto 2008 - 3:55pm.

La seguridad no esta 100% asegurada en ningun S.O.

Ya sea usuario de window o Linux o Bsd o oncluso Minix (xD)

Eso lo sabe cualquiera, y no hay necesidad de comentarlo, ni menos pelear por algo que esta implicito en el area.
Si a window lo crucifican, no es por los errores, sino por la filosofia de desarrollo, manejo de incidencias y sobre todo, GUSTO PERSONAL.

Ademas, no dan ganas de responder una pendejada como la de arriba, lo hago solo para matar el tiempo de compilacion de una subida al servidor de cobol.

cya
phantomcl - Chile

Kriptópolis

Enlaces principales