Aanvallers zijn er op 12 augustus in geslaagd om de servers waarop de Linux-kernel gehost wordt, te kraken. Vervolgens plaatsten zij een backdoor in OpenSSH en zorgden ervoor dat die versie werd aangeboden.
Het lukte de hackers binnen te komen op de Hera-server van Kernel.org, de plaats waar de Linux-kernel gehost wordt. Mogelijk slaagden de hackers hierin door inloggegevens te stelen. Vervolgens hebben de hackers rootrechten verkregen. Hoe dit is gebeurd, is vooralsnog ook onduidelijk.
Wat wel duidelijk is geworden, is dat bestanden van OpenSSH, OpenSSH-server en de OpenSSH-client zijn aangepast en daarna aangeboden. Bovendien is er een Trojaans paard dat toetsaanslagen op kan slaan aan de opstartscripts van het systeem toegevoegd.
Dat ook de broncode van de Linux-kernel is aangepast, lijkt onwaarschijnlijk. Voor elk bronbestand van de kernel wordt een SHA1-sleutel gegenereerd en na het wijzigen van de code zou die sleutel niet meer kloppen. Mochten er toch bronbestanden zijn aangepast, dan nog lijkt de impact klein, omdat het merendeel van de Linux-gebruikers de kernel gebruikt die met zijn Linux-distributie is meegeleverd.
De serverbeheerders ontdekten dat er iets niet klopte toen zij een foutmelding kregen over het niet-geïnstalleerde pakket Xnest. Inmiddels zijn alle gehackte machines offline gehaald en zijn in zowel de Verenigde Staten als in Europa de autoriteiten ingeschakeld. Bovendien wordt alle code van de kernel via git en de tarballs geanalyseerd op wijzigingen en moeten alle 448 gebruikers hun wachtwoorden en SSH-sleutels wijzigen.
"De Linux-gemeenschap en Kernel.org nemen de veiligheid van het Kernel.org-domein zeer serieus en zullen alle mogelijke manieren aanwenden om deze aanval te onderzoeken en toekomstige aanvallen te voorkomen", zo valt te lezen op de website.
8 uur geleden
