اختراق موقع نواة لينكس وزرع بوابات خلفية

كُشف اختراق في خوادم موقع نواة لينكس على مستوى الجذر. الخوادم التي اخترقت اصيبت ببرمجيّة خبيثة (rootkit) استطاعت الحصول على صلاحيّات جذر، تعديل في بعض الملفات، هذا بالاضافة الى تسجيل كلمات المرور الخاصة بالأشخاص الذين يستخدمونهم.

الاختراق حسب الموقع تم في 12 من اغسطس (الحالي) ، ولكن تمّ اكتشافه في 28 اغسطس. الكشف تمّ بعد تسريب ايميل لأحد القائمين على النواة يصف فيه تفاصيل الاختراق. حسب ما توصل له الفريق لغاية الان فإنّه قد تمّ اختراق حساب لمستخدم ومن ثمّ رفع الصلاحيّات الى جذر. غير معروف حتى الّلحظة الآلية التي تمّ استخدامها للوصول الى صلاحيات الجذر.

حسب ما ورد في اعلان موقع النواة فإن آثار الاختراق محدودة نظراً لنظم الحماية الموجودة في نظام ادارة الملفات git. حيث ذكر انه لكل ملف من الملفات 40 الف في نواة لينكس هناك هاش SHA1 مستخدم لمعرفة محتوى الملفات بالضبط (المقصود اي تعديل سيغير قيمة الهاش). ولا يمكن تغيير الاصدارات القديمة بدون ان يلاحظ احد ذلك. هذه القيم ليست موجودة على الخوادم فقط ولكن موجودة أيضاً لدى الاف المطوّرين والمحافظين على التوزيعات واعضاء آخرين في kernel.org.

الموقع يعمل مع 448 مستخدم على تغيير كلمات مرورهم و مفاتيح SSH الخاصّة بهم.

هذا ملخص لما حدث وفق الموقع:

– المتسلل حصل على صلاحيات جذر على الخادم Hera.
– الملفات الخاصّة باس اس اتش (OpenSSH, openssh-server and openssh-client)
-حصان طروادة تمّت إضافته الى ملفات بداية النظام (Start up)
-تفاعل المستخدمين مع النّظام (الدخول الى النظام، الاوامر) تمّ تسجيلها
-تمّ اكتشاف حصان طروادة نتيجة رسالة خطأ في Xnest /dev/mem
-يبدو ان 3.1rc قد منعت حاقن كود الاستغلال

ملخص ما تمّ عمله حتى الان
-تمّ اخذ خوادم من خط الانتاج من أجل عمل نسخ احتياطي وهم الان في طور إعادة تهيئة لهذه الخوادم.
-تمّ اعلام السلطات بالامر (في الولايات المتحدة واروربا)
-سيتمّ عمل اعادة تثبيت لكافة الخوادم في Kernel.org
-يتم عمل تحليل للكود في git من أجل التّأكد من أنّه لم يتم تعديل أي شيء

نبذة عن الكاتب

التعليقات:

أضف تعليقاً | عدد التعليقات: (1)

  1. كريم قال:

    (rootkit) استطاعت الحصول على صلاحيّات جذر
    ال rootkit مش بيدى root access على السيرفر

أكتب تعليق