Bagdør fundet i vsftpd-kildekode

Damn, så alle servere med vsftpd installeret, som lytter på port 6200 og som har oprettet en bruger med navnet ":)" er udsatte???

Kun dem der benytter sig af version 2.3.4 og som har hentet programmet i et tidsrum på mellem 2 og 3,5 dage.

Er de fleste ftp-servere mon ikke bag en firewall eller NAT-router, der ikke har åbnet for port 6200?

Jeg tror skaden er ret begrænset.

"Dette får udvikleren af vsftpd, Chris Evans, til at formode, at den måske blot er lavet for sjov."

Eller var det måske bare hvad gerningsmænde ville have dem til at tro! ;)

Damn, så alle servere med vsftpd installeret, som lytter på port 6200 og som har oprettet en bruger med navnet ":)" er udsatte???mbp (#1)

Nej alle servere der kører versionen med bagdøren kan tilgås på den måde.

Strengt taget ved vi jo ikke om dette er et sikkerhedsproblem i vsftpd. Det er ikke vsftpd selv, der var kompromitteret, men derimod den server hvor downloads blev stillet til rådighed fra.

Det kan selvfølgelig godt tænkes at den server kører vsftpd og den blev kompromitteret derigennem. Men det er nok mere sandsynligt, at den blev kompromitteret på en anden måde. Jeg håber de finder ud af, hvordan den blev kompromitteret.

Det er langt fra første gang en server med download af open source kildekode er blevet kompromitteret, og en modificeret kildekode er blevet lagt der. Og det bliver stort set alt tid opdaget fordi angriberne ikke har den nødvendige nøgle til at lægge en gyldig signatur på serveren.

Jeg har endnu ikke hørt om et tilfælde hvor gpg nøglen også har været kompromitteret.

De eneste der er udsat er dem der vælger at hente kildekoden og compilere den uden at checke gpg signaturen. Hvis man får softwaren gennem sin sædvanlige kanal for software opdateringer, så er man ikke udsat for denne type angreb.

Der har dog også været tilfælde hvor Linux distributioner har været ramt. Der var f.eks. en episode omkring Fedora for et par år siden. Den episode var noget mere suspekt fordi der aldrig blev offentliggjort detaljer omkring hvad man havde opdaget.

#6 Selvfølgelig hører du ikke nogle tilfælde hvor GPG nøglen er kompromitteret, for de bliver jo ikke opdaget (med mindre der er en der lige falder over noget mystisk kode).

Hvem siger at code reviews er tidsspilde?

#8

Det ved jeg ikke- men så vidt jeg har forstået så blev dette kode ikke submittet igennem et versionsstyrings værktøj eller gennemgik de normale processor.

Det var en fil der blev ændret på en download server.

Hvad kunne de have gjort anderledes i relation til din post?

Sætte et skilt op: "Hvis du hacker os, så submit lige en diff fra /etc/httpd til min mail så vi kan se det igennem"

Det er uvist, om der har været et egentlig mål for bagdøren, idet den ikke har indbygget en funktionalitet til at melde tilbage til bagmændene, at den er blevet installeret. Dette får udvikleren af vsftpd, Chris Evans, til at formode, at den måske blot er lavet for sjov.#0

Så folk hacker sig ind på master ftp serveren og uploader en bagdøret version.. for sjov.

Det lyder, for mig, som om at Chris Evans prøver at få situationen til at lyde mindre alvorligt, men facts er at det der er sket er rigtigt, rigtigt alvorligt.

#10

Nej, hvis dette ikke var for sjov så havde hackeren lige ændret en buffer størrelse variabel i login koden- så man stealthy kunne roote serveren.

Dette er ikke alvorligt- det er en webserver der er blevet hacket- det er ikke en big fucking deal- sikkerheden ligger jo i at dataen er signeret.

hvis dette ikke var for sjov så havde hackeren lige ændret en buffer størrelse variabel i login kodenMamad (moveax1ret) (#11)

Jeg må give dig ret i at et mere målrettet angreb kunne have valgt at introducere en bagdør som ligner en simpel bug. Omend et buffer overløb ikke er det nemmeste at misbruge. Jeg har set bugs der var nemmere at misbruge.

Et eksempel på et lignende forsøg som blev forsøgt for nogle år siden var en bagdør til Linux. http://kerneltrap.org/node/1584

Et andet træk som mere målrettede angreb kan anvende er at lade være med at lave en bagdør som alle og enhver kan anvende, men i stedet anvend public key cryptography sådan at der ligger en offentlig nøgle i kildekoden, og kun personen som har den hemmelige nøgle kan udnytte bagdøren.

En bagdør som anvender kryptografi på den måde er nok svær at konstruere så den blot ligner en fejl.

Den bagdør som Ken Thompson beskrev må stadig stå som den bedste. En opdateret version ville nok gå efter gcc eller pcc og plante en offentlig nøgle i openssh som altid ville blive accepteret til at logge ind som en vilkårlig bruger på en vilkårlig maskine.

#12

Ja- det er også en meget elegant måde at gøre det på, men det er en privilege escalation bug hvor at angrebs fladen er enorm(alle linux kernel api calls).

Her har vi en ftp server der ikke vil lade dig interface med noget som helst før du giver adgangskode og username.

Hvis det skal kamufleres som en bug kan jeg ikke forestille mig andet end at åbne op for at lave buffer overflow på stacken ved kopiering af username/password.

Dette er ikke alvorligt- det er en webserver der er blevet hacket- det er ikke en big fucking deal- sikkerheden ligger jo i at dataen er signeret.Mamad (moveax1ret) (#11)

Hvor mange af dem som downloader tror du der checker signaturen?

#14
Forhåbentlig dem der bruger softwaren til seriøse ting

Hvor mange af dem som downloader tror du der checker signaturen?arne_v (#14)

Jeg vil gætte på de fleste brugere henter det gennem deres Linux distributions repositories med software som automatisk checker signaturen.

Personer som vælger at hente kildekoden og selv compilere den må formodes at være et trin mere avancerede og forhåbentligt have omtanke nok til at checke signaturen.

Der skal såmænd nok være personer som har installeret softwaren uden at checke signaturen. Men forhåbentligt er det et fåtal. Ved at kigge i webserver loggen kan de i det mindste få en idé om hvor stor en procentdel, som har downloadet signaturen.

Jeg havde hentet det uden at checke noget som helst, men jeg har ikke noget vigtigt alligevel.