据国外媒体报道,近日几个无名黑客成功入侵了Linux厂商Red Hat和其Fedroa项目使用的几个计算机系统,迫使管理员将这些计算机断开网络连接一个多星期。
据Fedora项目的公告称,这次入侵中受影响最大的计算机来自于Fedora项目,该计算机主要负责对包管理器进行签名,包管理器被用于自动更新终端用户系统。这次入侵还影响了Fedroa项目的数据库和代理服务器、托管系统和协同网络。另外Red Hat所使用的一小部分服务器也被入侵。
尽管这次入侵带来的危害看上去比较严重,但是Fedroa项目宣称入侵者并没有获得包签名密钥。一旦入侵者得到这个密钥,就可以将恶意软件通过自动更新安装到Fedora用户系统中。
Fedora项目领导Paul Frields表示,“根据我们的验证,我们完全相信入侵者未能获得用来保护Fedora包签名密钥的密码短语,根据我们的观察,这个密码短语在入侵事件发生期间一直未被使用,而且这个密码短语并不存储在任何一台Fedora服务器上。”
Fedora项目负责管理Red Hat免费版Linux操作系统的开发和发布。由Fedora的开发者创造的软件已经被应用到不同的商业版和非商业版Linux中,其中包括Red Hat企业版Linux。
尽管Fedora项目没有证据证明入侵者获得了签名密钥,它还是决定创建并启用新的密钥。Fedora项目管理员也对大量软件组件进行了检查,并没有发现任何类似木马软件之类的东西被嵌入到其软件中。
Red Hat表示,尽管这次入侵对Red Hat的系统带来的影响有限,但是入侵者能够创建几个经过签名的恶意OpenSSH包。
因此,作为预防方法,Red Hat正在为这些软件发布更新版,同时公布了具有潜在风险的软件包的名称列表,以及如何来检测它们。
另据安全专家称,尽管大多数Linux系统的包管理器都使用了签名机制确保安全,不过据称利用CVE-2008-0166漏洞,攻击者可以对包含恶意内容的软件包成功进行有效签名,尤其是用户使用第三方镜像源时,升级包的安全性更得不到保证。另外,大多数Linux发行版对个人或者组织建立的镜像更新站点检查力度不够,攻击者很容易就可以成为官方认证的镜像站点。
为了说明问题的严重性,研究人员使用了一个虚假的管理员和公司名称,使用租借的服务器,却成功被所有进行尝试的发行版(包括Ubuntu、Fedora、OpenSUSE、CentOS和Debian)列入了官方镜像名单。