Ubuntu-Foren nach Einbruchanalyse wieder Online

Zehn Tage nach einem Einbruch sind die Ubuntu-Foren wieder unter ubuntuforums.org zu erreichen. Der Angreifer hat offenbar eine XSS-Lücke genutzt, um sich Admin-Rechte zu verschaffen.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Thorsten Leemhuis

Die Anmeldung im Ubuntu-Foum erfolgt nun über Ubuntu One (SSO).

(Bild: Sceenshot von ubuntuforums.org )

Die offiziellen Ubuntu-Support-Foren unter ubuntuforums.org sind jetzt wieder online; sie waren am vorletzten Wochenende vorübergehend abgeschaltet worden, nachdem sich ein Angreifer Zugang zur Website verschaffen konnte. Um diese robuster zu machen, haben die Administratoren einige Änderungen vorgenommen. Der Log-In erfolgt dadurch nun über Ubuntu One (SSO); damit das dortige Konto automatisch einem existierenden Konto bei den Ubuntu Foren zugeordnet werden kann, muss die Haupt-E-Mail-Adresse der beiden Accounts identisch sein.

Ein Eintrag im offiziellen Canonical-Blog erläutert Hintergründe zum Einbruch und den umgesetzten Sicherheitsverbesserungen. Demnach hat der Angreifer sich mit den Zugangsdaten eines Moderators im Forum einloggen können und hatte dadurch das Recht, Foren-Ankündigungen mit beliebigen HTML-Code anzulegen. In solch ein Announcement hat er Schadcode eingebaut und anschließend einen Foren-Admin auf die Ankündigung gelockt; offenbar mit Hilfe von Cross-site Scripting (XSS) hat sich der Angreifer so Admin-Rechte im mit vBulletin laufenden Foren verschafft.

Dadurch konnte der Angreifer alle vom Foren genutzten Datenbanken lesen und schreiben; mit diesen Rechten hat er die Tabelle mit den Nutzerdaten heruntergeladen, die 1,82 Millionen Usernamen zusammen mit den E-Mail-Adresse und den gesalzenen (salted) MD5-Passwort-Hashes enthielt. Was für eine XSS-Lücke genutzte wurde ist unklar, da einer der Admins des Ubuntu-Forums das Announcement mit dem Code gelöscht hat; es ist auch unklar, wie der Angreifer an die Zugangsdaten des Moderator-Kontos gelangen konnte.

Die Forenbetreiber habe nach eigenen Angaben alle Foren-Nutzer informiert und ihnen geraten, ihre für das Forum genutztes Passwort als kompromittiert zu betrachten. Zudem entschuldigen sie sich für das Sicherheitsproblem, das Datenleck und die Downtime des Forums. (thl)