Hackere sprænger to FreeBSD Project app dev servere

Hackere har kompromitteret to servere, der bruges af FreeBSD Project til at opbygge tredjeparts softwarepakker. Enhver, der har installeret sådanne pakker siden 19. september, skulle helt geninstallere deres maskiner, og projektets sikkerhedshold varslet.

Intrusioner på to maskiner i FreeBSD.org-klyngen blev registreret den 11. november, sagde FreeBSD-sikkerhedsholdet lørdag. "De berørte maskiner blev taget offline til analyse. Desuden blev en stor del af de resterende infrastrukturmaskiner taget som en sikkerhedsforanstaltning offline," rapporterede en meddelelse, der blev offentliggjort på projektets offentliggørelsesbrevliste.

De to kompromitterede servere fungerede som nodes til projektets gamle tredjeparts pakkebygningsinfrastruktur, sagde FreeBSD-projektet i en vejledning, der blev offentliggjort på sin hjemmeside.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Hændelsen berørte kun samlingen af tredjeparts softwarepakker distribueret af projektet og ikke operativsystemets "base" -komponenter, såsom kerne-, systembiblioteker, compiler- eller kerneledningsstyringsværktøjer.

FreeBSD-sikkerhedsteamet mener, at de ubudne brugere har fået adgang til serverne bruger en legitim SSH-godkendelsesnøgle stjålet fra en udvikler og ikke ved at udnytte en sårbarhed i operativsystemet.

Selvom holdet ikke fandt nogen beviser for det

"Vi kan desværre ikke garantere integriteten af ​​eventuelle pakker, der er tilgængelige til installation mellem 19. september 2012 og 11. november 2012, eller af havne, der er udarbejdet af træer, der er opnået via andre midler end gennem svn.freebsd.org eller et af dets spejle, "sagde holdet. "Selv om vi ikke har nogen beviser for at foreslå nogen manipulation fandt sted og tror, ​​at sådan indblanding er usandsynlig, skal vi anbefale, at du overvejer at geninstallere en maskine fra bunden ved brug af pålidelige kilder."

Pakningssætene, der i øjeblikket er tilgængelige for alle versioner af FreeBSD har blevet valideret, og ingen af ​​dem er blevet ændret på nogen måde, sagde holdet.

Som et resultat af uheldet planlægger FreeBSD-projektet at fremskynde sin proces med afskrækkende legatdistributionstjenester, som dem, der er baseret på CVSup, til fordel for det mere robuste Subversion-system. Rådgivningen indeholder flere anbefalinger om de værktøjer, som brugere og udviklere skal bruge til opdateringer, kildekodekopiering og underskrevet binær distribution.

Dette er ikke første gang, at et open source-softwareprojekt skulle beskæftige sig med et indbrud på grund af kompromitteret SSH-godkendelse nøgler. I august 2009 blev Apache-projektet tvunget til at lukke sine primære web- og spejleservere ud efter at have fundet ud af, at hackere brugte en SSH-nøgle forbundet med en automatisk backup-konto til upload og udførelse af ondsindet kode på nogle af serverne.

"Dette er en hjertelig påmindelse om, at en kæde kun er så stærk som dens svageste led, "siger Paul Ducklin, teknologibesvaret for Asia Pacific hos antivirusleverandøren Sophos, i en blog-post søndag. "Glem aldrig, at sikkerheden i dine interne systemer måske meget vel ikke er bedre end sikkerheden ved alle eksterne systemer, hvorfra du accepterer fjernadgang - hvad enten det er servere, bærbare computere eller endda mobile enheder."