Hackere sprekk to FreeBSD Project app dev servere

Hackere har kompromittert to servere som brukes av FreeBSD-prosjektet for å bygge programvarepakker fra tredjepart. Alle som har installert slike pakker siden 19. september, bør fullstendig installere sine maskiner, advarte prosjektets sikkerhetsgruppe.

Intrusjoner på to maskiner i FreeBSD.org-klyngen ble oppdaget 11. november, sa FreeBSD-sikkerhetslaget på lørdag. "De berørte maskinene ble tatt offline for analyse. I tillegg ble en stor del av de gjenværende infrastrukturen også tatt i bruk som en forholdsregel," rapporterte en melding som ble lagt ut på prosjektets publiseringsbrevliste.

De to kompromitterte serverne handlet som nodene for prosjektets eldre tredjeparts pakkebyggingsinfrastruktur, sa FreeBSD-prosjektet i en veiledning som ble lagt ut på sin nettside.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Hendelsen påvirket kun samlingen av tredjeparts programvarepakker distribuert av prosjektet og ikke operativsystemets "base" -komponenter, for eksempel kjerne-, systembibliotek, kompilator eller kjernekommandolinjeverktøy.

FreeBSD-sikkerhetslaget mener at inntrengerne har fått tilgang til serverne bruker en legitim SSH-godkjenningsnøkkel stjålet fra en utvikler, og ikke ved å utnytte et sikkerhetsproblem i operativsystemet.

Selv om laget ikke fant noe bevis på det

"Vi kan dessverre ikke garantere integriteten til noen pakker som er tilgjengelige for installasjon mellom 19. september 2012 og 11. november 2012, eller av eventuelle porter som er utarbeidet fra trær som er innhentet via andre midler enn gjennom svn.freebsd.org eller en av speilene, "sa laget. "Selv om vi ikke har noe som tyder på at noen manipulering fant sted og tror at slike forstyrrelser er usannsynlige, må vi anbefale at du vurderer å installere noen maskin på nytt fra grunnen, ved hjelp av pålitelige kilder."

Pakksettene som for tiden er tilgjengelige for alle versjoner av FreeBSD har har blitt validert, og ingen av dem har blitt endret på noen måte, sier teamet.

Som et resultat av hendelsen planlegger FreeBSD-prosjektet å fremskynde sin prosess med avskrekkende legatdistribusjonstjenester, som de som er basert på CVSup, til fordel for det mer robuste Subversion-systemet. Rådgivningen inneholder flere anbefalinger om verktøyene brukerne og utviklerne skal bruke for oppdateringer, kildekodkopiering og signert binær distribusjon.

Dette er ikke første gang et åpen programvareprosjekt måtte håndtere et innbrudd på grunn av kompromittert SSH-godkjenning nøkler. I august 2009 ble Apache-prosjektet tvunget til å stenge sine primære web- og speilservere etter at ha funnet ut at hackere brukte en SSH-nøkkel tilknyttet en automatisk sikkerhetskonto for å laste opp og utføre skadelig kode på noen av serverne.

"Dette er en hjertelig påminnelse om at en kjede bare er like sterk som den svakeste lenken, sier Paul Ducklin, teknologidirektør for Asia Pacific i antivirusleverandøren Sophos, i en blogginnlegg søndag. "Ikke glem at sikkerheten til dine interne systemer kanskje ikke er bedre enn sikkerheten til alle eksterne systemer som du aksepterer ekstern tilgang til, uansett om de er servere, bærbare datamaskiner eller til og med mobile enheter."