Kernel.org ha anunciado que el día 28 de agosto descubrieron que alguien
había conseguido ser root en sus servidores. Al parecer el código del
Kernel no se ha visto alterado, aunque tienen que comprobarlo. El
servidor parecía llevar comprometido unas dos semanas.
Atacantes han llegado a tener acceso root a ciertos servidores (uno de
ellos Hera), al parecer sobre el 12 de agosto. Quizás pudieron hacerse
con las credenciales de algún usuario y luego conseguir root. Con estos
privilegios, modificaron ficheros del servidor OpenSSH ejecutándose en
esa máquina y añadieron un troyano para que se lanzase en el inicio de
sistema. La organización de Kernel.org han registrado todos los
movimientos de los usuarios y los están investigando, además de
reinstalar, avisar a las autoridades, analizando código… y todos los
pasos necesarios en estos casos. Entre ellos, modificar las credenciales
de los 448 usuarios de kernel.org e incluso eliminar por precaución
algunos paquetes de los servidores.
Aseguran que es muy complicado que se haya modificado alguno de los más
de 40.000 ficheros que componen el Kernel en sí, debido a la naturaleza
distribuida del Git. Además el sistema de integridad SHA1 utilizado,
hace que cualquier modificación pueda ser detectada por cualquier
desarrollador al actualizar de los repositorios.
Estaremos atentos a posteriores noticias.
Security breach on kernel.org
https://www.kernel.org/
[kernel.org users] [KORG] Master back-end break-in
http://www.boards.ie/
Via: Hispasec