Clear
Lead Graphic Papers

เซิร์ฟเวอร์ในโครงการ Kernel.org ถูกเจาะระบบ

วันที่ประกาศ: 6 ก.ย. 2554
ปรับปรุงล่าสุด: 6 ก.ย. 2554
เรื่อง: เซิร์ฟเวอร์ในโครงการ Kernel.org ถูกเจาะระบบ

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

ทีม งาน Kernel.org ซึ่งเป็นหน่วยงานที่ดูแล Linux Kernel ได้รายงานว่า เซิร์ฟเวอร์จำนวนหลายเครื่องที่ใช้ในการดูแลและแจกจ่ายซอร์สโค้ดของระบบ ปฏิบัติการ Linux ถูกเจาะระบบและใช้สิทธิ์ของ root เพื่อฝัง Malware [1]

การ โจมตีครั้งนี้ถูกตรวจพบเมื่อวันที่ 28 สิงหาคม 2554 ทีมงานพบว่าระบบถูกโจมตีก่อนวันที่ 12 สิงหาคม 2554 ผู้บุกรุกเข้าสู่เครื่องเซิร์ฟเวอร์ที่ชื่อ Hera ด้วย บัญชีผู้ใช้ที่ขโมยมา และเปลี่ยนสิทธิ์ของผู้ใช้ให้เป็นสิทธิ์ของผู้ดูแลระบบ (root) ซึ่งวิธีการที่ใช้ในการเปลี่ยนสิทธิ์นั้นยังอยู่ระหว่างการวิเคราะห์ หลังจากได้รับสิทธิ์ของ root แล้วผู้บุกรุกก็ได้แก้ไขไฟล์ที่เกี่ยวข้องกับการกำหนดค่า ssh (เช่น openssh, openssh-server และ openssh-clients) ของเครื่องแม่ข่ายของ kernel.org แล้วทำการฝังโทรจันไว้เพื่อให้ทำงานทุกครั้งที่เริ่มระบบ ในขณะนี้ทางทีมงาน Kernel.org ได้ทำการปิดระบบลงทั้งหมดเพื่อทำการสำรองข้อมูลและตรวจสอบข้อมูลการโจมตี หลังจากนั้นจะทำการติดตั้งระบบปฏิบัติการใหม่ทั้งหมด [2,3]

ผลกระทบ

ผู้ใช้ที่ดาวน์โหลดซอร์สโค้ดของ Linux จาก Kernel.org ตั้งแต่วันที่ 12 สิงหาคม อาจได้รับไฟล์ที่ถูกปลอมแปลงเพื่อสร้างความเสียหายได้

ระบบที่มีผลกระทบ

Linux Kernel เวอร์ชันที่พัฒนาหลังจากวันที่ 12 สิงหาคม ถึงวันที่ 28 สิงหาคม 2554 (Kernel รุ่น 3.0.2 - 3.0.3)

วิธีการแก้ไข

ตรวจสอบลายเซ็น GPG จากซอร์สโค้ดที่ดาวน์โหลดมาจาก Kernel.org เนื่องจากไฟล์อาจถูกปลอมแปลงได้ [4]

อ้างอิง

[1] http://www.kernel.org/
[2] http://www.theregister.co.uk/2011/08/31/linux_kernel_security_breach/
[3] http://php.webtutor.pl/en/2011/09/01/kernel-org-has-been-hacked/
[4] http://kernel.org/signature.html

Clear