Web Linux Mint odkazoval 20. února napadené ISO soubory

Aktualizováno 21. 2. 2016 22:00
Petr Krčmář 21. 2. 2016

Vážný bezpečnostní incident se odehrál na oficiálním webu distribuce Linux Mint. Neznámým útočníkům se podařilo napadnout web a vložit do něj odkaz na upravený ISO obraz s backdoorem volajícím Bulharsko.

Vývojáři distribuce Linux Mint varují všechny uživatele, kteří si v sobotu 20. února stáhli instalační ISO soubor s distribucí z odkazu na oficiální webové stránce. Útočníci totiž vytvořili upravené ISO obrazy s backdoorem a podařilo se jim odkazy vložit na oficiální web. Problém se týká jen verze Linux Mint 17.3 Cinnamon, pokud jste stahovali jinou variantu, jinou verzi, pomocí torrentu nebo přímým odkazem na oficiální stahovací server, vaše kopie je v pořádku.

WordPress nebo phpBB

Podle všeho se podařilo napadnout jen web, který je postaven na redakčním systému WordPress. Vývojáři se dušují, že měli nejnovější verzi bez přidaných pluginů. Díra vznikla v šabloně a ve špatných právech souborů. Server je zatím odstaven a pravděpodobně bude dále zkoumán.

S jinou teorií o napadení přišla komunita InfoSec, jak zmiňuje Softpedia. Yonathan Klijnsma z nizozemské společnosti Fox-IT upozornil na komerční nabídku dumpu celého phpBB fóra distribuce Linux Mintu. Je tedy možné, že někdo využil díry v phpBB a poté se získaným přístupem k disku modifikoval i další soubory či databáze. V každém případě zřejmě unikly údaje uživatelů fóra.

Nabídka prodeje databáze za 85 dolarů

Každopádně je zvláštní, že by někdo takto hloupě využil takové bezpečnostní chyby, která mohla být využita daleko chytřeji než jen pro nasazení známého a velmi jednoduchého trojana. Ukazuje to na někoho nezkušeného nebo někoho, kdo to chtěl prostě jen zkusit.

Zkontrolujte si obrazy

Pokud si chcete být jisti, že máte oficiální ISO, porovnejte si jeho MD5 (sic!) s následujícím seznamem. Na něm jsou správné a oficiální obrazy:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Bohužel to není nejšťastnější způsob, jak incident řešit – vystavit na jiné HTTP stránce seznam hashů. Podstatně vhodnější by bylo obrazy podepisovat, jako to dělá celá řada jiných distribucí. Doufejme, že se vývojáři Mintu poučí pro příště.

Pokud jste už napadený ISO obraz použili, co nejdříve zálohujte data, počítač přeinstalujte z oficiálních obrazů a změňte si hesla na webech s citlivými údaji, ke kterým jste se z upraveného systému přihlašovali.

Uvnitř byl trojan TSUNAMI

Zatím není vůbec jasné, co útočník úpravou sledoval ani k jakým údajům se mohl dostat. Pokud šlo o poškození projektu, vývojáři slibují, že kontaktují úřady a společně s bezpečnostními společnostmi se pokusí útočníky vypátrat.

Upravený ISO obraz se stahoval z IP adresy 5.104.175.212 a backdoor se z nainstalovaného systému připojuje na server absentvodka.com. Oba údaje vedou do Bulharska, což ale samozřejmě nemusí nic znamenat.

Odkazy na stažení byly upraveny

Na podvrženém instalačním médiu byl prý změněn jen soubor man.cy , ve kterém přibyla funkce tsunami. Jde o známého ELF trojana TSUNAMI, což je jednoduchý IRC bot sloužící k DDoS útokům. Objeven byl poprvé v roce 2013 a jeho schopnosti popisuje například blog Malware Must Die.

Našli jste v článku chybu?
DigiZone.cz: Čechy baví komedie, Slováky animace

Čechy baví komedie, Slováky animace

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Lupa.cz: Online porno ničí sexuální život mladých mužů

Online porno ničí sexuální život mladých mužů

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Lupa.cz: Kdy mi to jede? Pražská MHD má nové aplikace

Kdy mi to jede? Pražská MHD má nové aplikace

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Lupa.cz: Kolín dá čipy na náměstí, do kontejnerů i dětem

Kolín dá čipy na náměstí, do kontejnerů i dětem

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: Loewe uvede 4K s obrazovkou OLED

Loewe uvede 4K s obrazovkou OLED

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking

DigiZone.cz: Sky Deutschland: dvakrát fotbal ve 4K

Sky Deutschland: dvakrát fotbal ve 4K

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta

DigiZone.cz: Fotbal na O2 TV Sport posiluje

Fotbal na O2 TV Sport posiluje

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)