Ubuntu-Foren nach Einbruchanalyse wieder Online

31.07.2013 10:12 Uhr Thorsten Leemhuis

Zehn Tage nach einem Einbruch sind die Ubuntu-Foren wieder unter ubuntuforums.org zu erreichen. Der Angreifer hat offenbar eine XSS-Lücke genutzt, um sich Admin-Rechte zu verschaffen.

Die Anmeldung im Ubuntu-Foum erfolgt nun über Ubuntu One (SSO).

(Bild: Sceenshot von **ubuntuforums.org [1]** )

Die offiziellen Ubuntu-Support-Foren unter ubuntuforums.org [2] sind jetzt wieder online; sie waren am vorletzten Wochenende vorübergehend abgeschaltet [3] worden, nachdem sich ein Angreifer Zugang zur Website verschaffen konnte. Um diese robuster zu machen, haben die Administratoren einige Änderungen vorgenommen. Der Log-In erfolgt dadurch nun über Ubuntu One (SSO) [4]; damit das dortige Konto automatisch einem existierenden Konto bei den Ubuntu Foren zugeordnet werden kann, muss die Haupt-E-Mail-Adresse der beiden Accounts identisch sein.

Ein Eintrag im offiziellen Canonical-Blog [5] erläutert Hintergründe zum Einbruch und den umgesetzten Sicherheitsverbesserungen. Demnach hat der Angreifer sich mit den Zugangsdaten eines Moderators im Forum einloggen können und hatte dadurch das Recht, Foren-Ankündigungen mit beliebigen HTML-Code anzulegen. In solch ein Announcement hat er Schadcode eingebaut und anschließend einen Foren-Admin auf die Ankündigung gelockt; offenbar mit Hilfe von Cross-site Scripting (XSS) hat sich der Angreifer so Admin-Rechte im mit vBulletin laufenden Foren verschafft.

Dadurch konnte der Angreifer alle vom Foren genutzten Datenbanken lesen und schreiben; mit diesen Rechten hat er die Tabelle mit den Nutzerdaten heruntergeladen, die 1,82 Millionen Usernamen zusammen mit den E-Mail-Adresse und den gesalzenen (salted) MD5-Passwort-Hashes enthielt. Was für eine XSS-Lücke genutzte wurde ist unklar, da einer der Admins des Ubuntu-Forums das Announcement mit dem Code gelöscht hat; es ist auch unklar, wie der Angreifer an die Zugangsdaten des Moderator-Kontos gelangen konnte.

Die Forenbetreiber habe nach eigenen Angaben alle Foren-Nutzer informiert und ihnen geraten, ihre für das Forum genutztes Passwort als kompromittiert zu betrachten. Zudem entschuldigen sie sich für das Sicherheitsproblem, das Datenleck und die Downtime des Forums. (thl [6])

URL dieses Artikels:
https://www.heise.de/-1927074

Links in diesem Artikel:
[1] http://ubuntuforums.org
[2] http://ubuntuforums.org/
[3] https://www.heise.de/news/Ubuntu-Forum-gehackt-1920874.html
[4] https://login.ubuntu.com/
[5] http://blog.canonical.com/2013/07/30/ubuntu-forums-are-back-up-and-a-post-mortem/
[6] mailto:thl@ct.de