Debian-Hack: Einbrecher kam über bekannte Lücke
Die Administratoren des gehackten Debian-Entwicklungsservers haben bestätigt, dass der Eindringling die sys_prctl-Lücke im Kernel nutzte.
- Daniel Bachfeld
Was zuerst nur vermutet wurde, haben die Administratoren des gehackten Debian-Entwicklungsservers gluck nun bestätigt: Der Eindringling nutzte die sys_prctl-Lücke bei der Ausgabe von Core-Dumps, um an Root-Rechte zu gelangen. Um allerdings überhaupt Zugriff auf den System zu erhalten, wurde ein Entwickler-Konto mit eingeschränkten Rechten kompromittiert – wie genau, steht nicht fest. Wann der Einbruch stattfand, erklärt die Mittellung des Debian-Projektes ebenfalls nicht. Allerdings kam der Eindringling wohl nicht allzu lange Zeit in den Genuß der Root-Rechte, da die Administratoren am 12. Juli auf merkwürdige Mails aufmerksam wurden, die von bestimmten Cron-Jobs generiert wurden. Kurzerhand wurde der Rechner gesperrt und untersucht.
Die bislang einzig festgestellte Änderung auf dem System soll ein manipuliertes Ping-Binary gewesen sein. Der Zugriff auf Server, die etwa die Archive, Pakete und Mailinglisten verwalten, war von dort aus jedoch nicht möglich. Mittlerweile ist gluck wieder in Betrieb, diesmal ohne bekannte Lücke im Kernel und mit neuen Schlüsseln für GPG und SSH. Somit stehen auch wieder alle von ihm angebotenen Dienste zur Verfügung. Im Zuge der Untersuchungen nehmen die Administratoren auch gleich noch weitere Server unter die Lupe, um mögliche Einbrüche festzustellen und einen fehlerbereinigten Kernel zu installieren.
Warum die Administratoren den Kernel nicht schon früher aktualisierten, ist unklar. Immerhin standen die Updates schon am 6. Juli öffentlich zur Verfügung, dem Debian-Team intern aber sicherlich schon früher. Bemerkenswert ist, dass es Gerüchte gibt, die Lücke sei in "gewissen Kreisen" schon Ende 2005 bekannt gewesen. Allerdings gibt es keine Hinweise, dass sie damals auch schon aktiv ausgenutzt wurde. Nach Meinung des Kernel-Sicherheitsspezialisten Paul Starzetz gleiche der Fehler ohnehin eher einer Backdoor als einem echten Fehler aus Unachtsamkeit.
Siehe dazu auch: (dab)
- Update on compromise of gluck.debian.org, lock down of other debian.org machines, Untersuchungsbericht des Debian-Teams
