Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/09/2011
Kernel.org Comprometido
Uno (o varios) de los servidores de Kernel.org (el sitio de referencia para descargar el Kernel de Linux) han sido comprometidos
Según se puede leer en la propia web (Kernel.org):
- Los atacantes consiguieron hacerse con el control de la cuenta root (máximos privilegios y acceso total) en uno de sus servidores
- El acceso inicial parece que se realizó mediante claves SSH legítimas que fueron robadas de usuarios que tenían acceso al sistema
- Una vez dentro, emplearon un exploit para conseguir acceso como root
- Aparentemente 'troyanizaron' el servicio OpenSSH, tanto el servidor como los clientes (con lo que no es descartable que, todo aquel que haya hecho una conexión ssh DESDE el servidor comprometido haya comprometido el host al que conectaba)
- A la máquina se le añadió un troyano para asegurar el acceso
En principio los administradores de Kernel.org aseguran que resulta poco probable (según ellos imposible) que alguien haya podido introducir código malicioso en alguna versión del kernel que haya estado accesible para descarga.
El motivo por el que aseguran la integridad del kernel es debido a la forma en la que funciona GIT , que incorpora mecanismos criptográficos de validación (hashes) en los ficheros que gestiona por lo que, a priori, cualquier modificación 'extraña' hubiese sido detectada.
Aun así, la información es provisional ya que están en proceso de investigación del incidente.