Лидер проекта Fedora сообщил детали произошедшего 22 января инцидента, в
результате которого злоумышленники смогли проникнуть на некоторые серверы
проекта под одним из пользовательских аккаунтов. В сообщении с разбором ситуации
утверждается, что параметры доступа были получены вследствие внешней атаки
(например, взлом машины разработчика или сниффинг), а серверы инфраструктуры не
были взломаны напрямую.

Поверхностная проверка показала, что злоумышленники не вышли за пределы
скомпрометированного аккаунта и не воспользовались функциями формирования сборок
и обновлений. Тем не менее, мейнтейнерам пакетов рекомендовано регулярно
анализировать журналы внесения изменений в пакеты и информировать администрацию
(admin at fedoraproject.org) о любой подозрительной активности. Участникам
проекта при доступе к инфраструктуре Fedora настоятельно рекомендуется
использовать надежные пароли и не применять эти же пароли в других проектах,
особенно на web-сайтах, не использующих шифрование.

Проникновение злоумышленника было выявлено после обращения одного из
разработчиков, обеспокоенного получением системного письма с уведомлением об
изменении параметров аккаунта. Администраторы проекта немедленно приступили к
разбору ситуации и выяснили, что действительно под аккаунтом обратившегося
пользователя были осуществлены факты входа постороннего лица.

Скомпрометированный аккаунт не входил в группу системных администраторов и
команды по подготовке релизов, но обладал следующими привилегиями:

  • Возможность входа на серверы fedorapeople.org и pkgs.fedoraproject.org с
    правами непривилегированного пользователя;
  • Доступ к помещению новых пакетов в систему управления исходными текстами
    Fedora;
  • Право на выполнение сборки пакетов и формирования обновления к ним.

В ближайшее время администраторами проекта будет проведён детальный анализ
инцидента и выполнен дополнительный аудит безопасности серверов. Из уже
проведенных мероприятий отмечается выполнение следующих действий:

  • Блокирование скомпрометированного аккаунта;
  • Создание снапшотов всех файловых систем на серверах на которых
    присутствовал взломанный аккаунт;

Аудит логов SSH, FAS, Git и Koji показал, что злоумышленник сменил SSH-ключ
аккаунта и вошел на сервер fedorapeople.org, но не пытался поместить изменения в
систему управления исходными текстами Fedora, не входил на сервер
pkgs.fedoraproject.org, не генерировал koji-сертификат, не выполнял сборки
пакетов и не формировал обновления пакетов (примечание: или умело замел следы,
чтобы создать иллюзию неудавшегося взлома).

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии