Обнаружен факт взлома нескольких серверов в инфраструктуре Kernel.org,
используемых для распространения архивов с исходными текстами и обслуживания
Git-репозиториев с ядром Linux. Атакующим удалось получить root-доступ к
серверам, модифицировать системное программное обеспечение и организовать
перехват паролей разработчиков. В частности, атаковавшие заменили openssh-server
и openssh-clients, а также организовали загрузку своего скрипта через систему
инициализации.
По предположению администраторов проекта проникновение было совершено через
утечку параметров одного из аккаунтов. Данное предположение подтверждает
обнаружение троянского ПО на машине одного из разработчиков ядра, который имел
доступ к двум взломанным серверам (Hera и Odin1). Тем не менее, пока не ясно как
именно удалось поднять свои привилегии в системе, судя по всему был задействован
эксплоит для еще публично неизвестной уязвимости.
Факт взлома был выявлен 28 августа. Проникновение было совершено не позднее,
чем 12 августа, при этом как минимум 17 дней злоумышленники оставались
незамеченными. Наличие проникновения было выявлено после того, как
администраторы заметили в логе упоминание ошибки доступа к /dev/mem со стороны
Xnest, в то время как Xnest не был установлен на серверах. После выявления
взлома серверы были отключены от сети и инициирована их полная переустановка. В
будущем в профилактических целях планируется полностью переустановить систему и
на остальных серверах. На серверах инфраструктуры присутствует 448 аккаунтов
разработчиков и администраторов, для которых начат процесс смены параметров
аутентификации и ключей SSH. В будущем планируется пересмотреть политику
безопасности и методы организации доступа.
Несмотря на проникновение и получение полного контроля над серверами,
разработчики ядра уверены, что атакующие не могли внести скрытые изменения в код
ядра, так как целостность Git-репозиториев и архивов с кодом обеспечивается
надежными хэшами SHA-1. Кроме того, было инициировано несколько проверок
целостности кода с задействованием других, параллельно созданных, хэшей, а также
проведение детального аудита всех последних изменений в коде. Система управления
исходными текстами Git имеет встроенные криптографические средства защиты,
позволяющие гарантировать неизменность уже внесенных изменений, т.е. код нельзя
исправить задним числом. Кроме того, Git является распределенной системой и
копии репозиториев разбросаны по всему миру на нескольких тысячах машин
разработчиков и пользователей. Внесение дополнительных коммитов в репозитории
сразу бы оказалось на виду при очередной синхронизации внешнего репозитория с
репозиторием на Kernel.org (все новые коммиты отображаются).