Múltiples servidores utilizados para mantener y distribuir variados sistemas operativos basados en Linux fueron infectados con malware que obtuvo acceso root, modificó software de sistema, contraseñas y transacciones de las personas que los usaban, informó la Linux Kernel Organization.
La infección ocurrió el 12 de agosto y no fue detectada hasta 17 días después, según el administrador jefe de kernel.org, John “Warthog9” Hawley. Según relató en un correo a los desarrolladores, se encontró un troyano en la máquina personal del desarrollador de kernel H. Peter Anvin y luego en dos servidores de kernel.org llamados Hera y Odin1.
“Intrusos obtuvieron acceso root al servidor Hera. Creemos que pueden haber obtenido acceso a través de las credenciales de un usuario; cómo lograron explotar ese acceso root es hasta el momento desconocido y está en investigación”, señala un comunicado en el sitio de kernel.org.
Se cree que los repositorios usados para almacenar el código fuente de Linux no se vieron afectados por la vulnerabilidad, aunque la seguridad de los mismos está siendo verificada. El comunicado agrega que el daño potencial que se puede hacer rooteando kernel.org es menos que el que se podría lograr en repositorios de software comunes, debido a los métodos de seguridad que están dentro del sistema.
“Por cada uno de los casi 40.000 archivos en el kernel de Linux, se calcula criptográficamente un hash SHA-1 seguro para definir de manera única los contenidos exactos de ese archivo. Una vez publicados, no es posible cambiar las versiones antiguas sin ser notado”, señala el comunicado.
Cada hash es almacenado en miles de sistemas diferentes alrededor del mundo, haciendo fácil que los usuarios chequeen la validez de los archivos Linux antes de correrlos en sus máquinas.
Aunque es raro, esta no es la primera vez que una respetada organización que distribuye software de código abierto, de la que dependen miles de otras organizaciones, es atacada. En diciembre, la fuente principal de código de la Free Software Foundation, GNU Savannah, fue derribada después de un hackeo que filtró contraseñas. Los administradores no pudieron determinar esa vez si hubo acceso de root.
En abril de 2010 también la Apache Software Foundation sufrió un ataque que consiguió contraseñas que cualquiera que usara el servicio de rastreo de bugs de la web.
Kernel.org bajó los servidores infectados y están en proceso de reinstalar completamente el sistema operativo en cada máquina de la organización. También están trabajando con los 448 usuarios de kernel.org para cambiar sus credenciales de autenticación, incluyendo claves SSH. Además se notificó a autoridades en Estados Unidos y Europa.
Link: The Linux Kernel Archives (vía The Register – Gracias Víctor)