Les utilisateurs enregistrés de forums de support Ubuntu ont intérêt à être particulièrement vigilants après l'incursion dans la base de données d'UbuntuForums.org contenant pas moins de 2 millions d'adresses mails et noms d'utilisateurs associés. Canonical a annoncé la brèche de sécurité vendredi, après avoir été alerté par une personne ayant indiqué être en possession de cette base de données. Une enquête a révélé que l'attaquant a eu accès aux enregistrements grâce à une vulnérabilité.
La faille de type injection de code SQL se trouvait dans l'extension Forum Runner pour vBulletin, le logiciel commercial de forum qui est utilisé par plus de 100 000 sites web communautaires sur le web et plus particulièrement par les entreprises populaires. La vulnérabilité était connue, mais l'équipe de sécurité de Canonical n'a pas été en mesure de proposer un patch suffisamment tôt. « Le pirate a eu la possibilité d'injecter des lignes de codes SQL formatés sur les bases de données des serveurs de forums », a indiqué l'équipe sécurité de Canonical. « Cela leur a permis de lire n'importe quelle table mais nous pensons qu'ils ont seulement pu accéder à la table utilisateurs ». La table utilisateurs contient des noms des inscrits, des emails ainsi que les adresses IP relatifs à 2 millions de personnes. Elle ne contient cependant pas de mots de passe utilisateur en clair mais juste des bouts utilisés par le service SSO d'Ubuntu, ce qui ne permet pas d'accéder aux comptes utilisateurs.
Des vagues de spams et de phishing en perspective
Par mesure de précaution, afin de s'assurer qu'aucun code malveillant n'a été laissé après cette attaque, Canonical a temporairement fermé le site, reinitialiser totalement ses serveurs hôtes et installé la version la plus à jour de vBulletin et remis à zéro l'ensemble des mots de passe système et des bases de données. La société est certaine que l'attaquant n'a pas été capable d'accéder à aucun fichier de codes et mécanismes de mises à jour, pas que d'obtenir des droits d'écriture sur la base de données Ubuntu Forums, d'accéder en commande shell à des serveurs ou de semer la pagaille dans d'autres services Canonical ou Ubuntu.
Bien qu'il n'y ait pas de danger immédiat pour les comptes Ubuntu Forums, les utilisateurs pourraient être visés par des vagues de spam et de phishing tentant de les amener à visiter des sites malveillants ou télécharger des malwares. Souvent, des vagues d'attaques de ce type sont recensées après le vol en masse de données personnelles. Les forums Ubuntu ne sont pas les premiers sites tournant sur vBulletin à avoir été compromis. Cela a par exemple été le cas en 2013 avec MacRumors.com. Les administrateurs de sites devraient toujours faire le nécessaire pour garder à jour leur système de gestion de contenu, incluant les ad-ons, thèmes et composants fournis par des tiers et implémentés dans leur CMS.