FreeBSD México

Comunidad Mexicana de FreeBSD

AVISO IMPORTANTE COMPROMISO DE ALGUNOS SERVIDORES DE FREEBSD.ORG

 

Anuncio de Intrusión en FreeBSD.org anunciado en Noviembre 17 de 2012

Traducción del anuncio oficial en inglés:

Incidente de Seguridad en la Infraestructura de FreeBSD

From: FreeBSD Security Officer <security-officer@FreeBSD.org>
To: FreeBSD Security <FreeBSD-security@FreeBSD.org>
Bcc: freebsd-announce@freebsd.org, freebsd-security-notifications@FreeBSD.org
Reply-To: secteam@FreeBSD.org
Subject: Incidente de Seguridad en Infraestructura FreeBSD
El Domingo 11 de Noviembre, se detectó una intrusión en dos maquinas dentro del cluster de FreeBSD.org. Las máquinas afectadas fueron puestas fuera de línea para análisis. Adicionalmente, una gran porción de las maquinas que quedaban en la infraestructura fueron sacadas de línea como una precaución.

No encontramos evidencia de alguna modificación que pudiera poner en riesgo a cualquier usuario final. De cualquier manera, urgimos a los usuarios a leer el reporte disponible en  http://www.freebsd.org/news/2012-compromise.html y decidan cualquier acción requerida por ellos mismos. Nosotros continuarémos actualizando esa página tan pronto como se tenga más información. Hasta el momento no creemos que los usuarios hallan sido afectados dado el análisis forense actual, pero proveerémos información actualizada si esto llega a cambiar.

Como resultado de este evento, un número de cambios de seguridad operacional se han realizado en el proyecto FreeBSD, en orden de mejorar más nuestra tolerancia a ataques potenciales. Nosotros planeamos, por lo tanto a descontinuar un número de servicios heredados, tales como la distribución vía cvsup del código fuente de FreeBSD, a favor de nuestros modelos de sistema de Subversión más robusto, freebsd-update, y portsnap.

Más información esta disponible en  http://www.freebsd.org/news/2012-compromise.html

Sábado Noviembre 17 de 2012

 

Tabla de Contenidos

Más detalles se iran agregando tan pronto como la información este disponible.

Actualización: Noviembre 18 de 2012

Nuevas instantaneas de portsnap(8) estan disponibles nuevamente. La generación de éstas fue suspendida como parte del aseguramiento de la infraestructura, de cualquier forma, todas las máquinas involucradas han sido o auditadas o reinstaladas y ahora se tiene la confianza de que éstas puedan estar disponibles una vez más.

El exportador de Subversion a CVS esta arriba y corriendo nuevamente. Actualizaciones realizadas al repositorio de Subversion aparecerán de nuevo en los repositorios disponibles vía csup/CVSup. Por favor tomen nota que el uso de estos “exports” aún estan descontinuados, y se aníma a los usuarios a moverse a uno de los métodos soportados (por ejemplo, freebsd-update(8), portsnap(8), o Subversion) en orden de obtener actualizaciones. Note también que actualmente no podemos garantizar la integridad del historial anterior dentro del repositorio CVS, pero tenemos confianza en la integridad de las verificaciones de los primeros tres de cada rama.

Notese por favor que debido a los cambios en la infraestructura, la primera actualización ya sea con portsnap(8) o csup(1) probablemente mostrará cambios en un gran número de archivos. No es nada de que preocuparse.

Como se mencionó en el anuncio original, un conjunto de paquetes cargado en preparación para la llegada de FreeBSD 9.1-RELEASE no pudo ser verificado, y por lo tanto fue removido. Con la finalidad de permitir a integradores y usuarios finales el verificar los paquetes que hallan descargado y que no sean de este conjunto, hemos proporcionado archivos que contienen las sumas de verificación tanto de sha256 como de md5 de todos los paquetes removidos.

Noviembre 17, de 2012

Detalles iniciales

El Domingo 11 de Noviembre de 2012, dos máquinas dentro de la infraestructura de FreeBSD.org se encontró que habían sido comprometidas. Estas máquinas eran nodos maestros de la infraestrcutra de compilación de  los paquetes heredados de terceros. Se cree que el compromiso tuvo lugar desde el 19 de Septiembre de 2012.

Se cree que el compromiso ocurrió debido a la filtración de una llave SSH de un desarrollador que tenía acceso legítimo a las máquinas en cuestión, pero que no llevó a ninguna vulnerabilidad o código exploit dentro de FreeBSD.

Para entender el impacto de este compromiso, se debe entender primero que el sistema operativo esta dividido en dos partes: la “base” mantenida por la comunidad FreeBSD, y una larga colección de “paquetes” de terceros distribuidos por el proyecto. El kernel, bibliotecas del sistema, compilador, herramientas centrales de la línea de comando (p.ej., SSH client), y daemons (p.ej., sshd(8)) todos estan en la “base”. La mayoría de la información en este aviso se refiere únicamente a los paquetes de terceros distribuidos por el Proyecto.

Ninguna parte de la base del sistema FreeBSD se ha puesto en riesgo. En ningún punto el intruso modificó ninguna parte del sistema base de manera alguna. De cualquier forma, el atacante tuvo suficiente acceso para permitir el compromiso potencial de paquetes de terceros. No se ha encontrado evidencia de ello durante el análisis profundo, pero de cualquier forma el Proyecto FreeBSD esta tomando un punto de vista extremadamente conservador en cuanto a ésto y esta trabajando bajo la premisa de que los paquetes de terceros, generados y distribuidos dentro de una ventana específica de tiempo pudieron ser modificados teóricamente.

¿Cuál es el Impacto?

Si usted esta corriendo un sistema que no tiene paquetes de terceros instalados o actualizados entre el 19 de Septiembre y el 11 de Noviembre de 2012, no tiene motivos para preocuparse.

Los repositorios de Subversión de códigos fuentes, los Ports y Documentación han sido auditados, y tenemos la confianza de que no se realizaron cambios en ellos. Cualquier usuario que los usen para actualizaciones no tienen motivos para preocuparse.

Hemos verificado el estado de los paquetes de FreeBSD y las liberaciones disponibles actualmente en ftp.FreeBSD.org. Todos los conjuntos de paquetes para las versiones existentes de FreeBSD y todas las liberacines disponibles han sido validadas y podemos confirmar que los paquetes disponibles actualmente y las liberaciones de FreeBSD no han sido modificadas de ninguna forma.

Un conjunto de paquetes para la próxima versión de FreeBSD 9.1-RELEASE había sido cargado a los sitios de distribución FTP en preparación de la 9.1-RELEASE. No se pudo verificar la integridad de este conjunto de paquetes, y por lo tanto han sido removidos y serán recompilado. Por favor tome nota de que estos paquetes eran para una liberación futura, las herramientas estandar pkg_add -r para instalar paquetes no pudieron descargar estos paquetes a menos que fueran solicitados explicitamente.

Desafortunadamente no podemos garantizar la integridad de ningún paquete disponible para instalación entre el 19 de Septiembre de 2012 y el 11 de Noviembre de 2012, o de cualquier port compilado de los árboles obtenidos por cualquier medio que sean diferentes a svn.freebsd.org o alguno de sus otros sitios espejo. Además de que no se ha encontrado evidencia de se realizara alguna manipulación maliciosa y de que se cree que dicha interferencia es altamente improbable, nosotros recomendamos que se considere reinstalar una máquina desde cero, usando fuentes confiables.

Podemos confirmar que el mecanismo de actualización binaria freebsd-update(8) no esta afectado, ya que usa una infraestructura completamente separada. También se ha verificado que la instantanea más reciente-disponible de  portsnap(8) cumpla con el repositorio de ports en Subversion, y puede confiarse completamente en ella. Por favor tome nota que como precaución, nuevas instantaneas de portsnap(8) no estan siendo generados actualmente.

¿Qué ha hecho la FreeBSD.org respecto a esto?

Tan pronto como el incidente vino a la luz, el equipo de Administración del cluster FreeBSD tomó las siguientes acciones:

  • Apagó las máquinas comprometidas.
  • Apagó todas las máquinas en las cuales el atacante pudo haber tenido acceso.
  • Auditó los repositorio SVN y Perforce  para:
    • Verificar que no hubo intrusión de servidor.
    • Verificar que no hubo commits maliciosos en el repositorio.
    • Verificar que el repositorio SVN cumpliera exactamente con una copia fuera de sitio comprobada como límpia.
  • Verificó que todos los medios y archivos de instalación de la base de FreeBSD release en el sitio de distribución FTP maestro esten limpios.
  • Verifico que todos los conjuntos de paquetes disponibles tuvieran sumas de verificación que cumplieran con copias buenas almacenadas fuera del sitio.
  • El conjunto de paquetes compilados para la próxima versión 9.1-RELEASE no tenían un respaldo fuera de sitio para verificarlo. Estos han sido borrados, y serán recompilados antes de que  9.1 sea liberado.
  • Todas las máquina sospechosas o fueron reinstaladas, retiradas, o completamente auditadas antes de ponerlas de nuevo en línea.

En este momento, recomendamos:

  • Si esta usando los mecanismos de distribución ya descontinuados como cvsup/csup , deberá dejar de usarlos ahora.
  • Si esta usando  cvsup/csup para los ports, deberá cambiar a  portsnap(8) de inmediato. Los desarrolladores de Ports deberían estar usando ya Subversion. Para mayor información relativa a los mecanismos preferidos para obtener y actualizar el árbol de ports puede leer la siguiente liga http://www.freebsd.org/doc/handbook/ports-using.html
  • Si se esta usando  cvs/anoncvs/cvsup/csup para src (código fuente de FreeBSD), debería considerar ya sea freebsd-update(8) para distribución binaria firmada o Subversion para el código fuente. Por favor vea el capítulo correspondiente de  actualizando FreeBSD desde el código fuente en el handbook. Para más detalles en el uso de Subversion y una lista de los sitios espejos oficiales puede leer la siguiente liga http://www.freebsd.org/doc/handbook/svn.html
  • Si actualmente usa portsnap(8), debería ejecutar los siguientes comandos: portsnap fetch && portsnap extract para obtener la instantanea más reciente. La instantanea más reciente de portsnap(8) ha sido verificado para cumplir exactamente con el repositorio de Subversion ya auditado. Por favor note que como una precaución, las actualizaciones de portsnap(8) han sido suspendidas temporalmente.
  • Siga políticas de las mejores prácticas de seguridad para determinar como puede verse afectada su organización.
  • Conduzca una auditoría de su sistema que use los paquetes binarios de FreeBSD.org. Cualquier cosa que haya sido instalada durante el periodo de afectación debería ser considerada como sospechosa. A pesar de que nosotros no hemos encontrado evidencia de ningúna manipulación maliciosa de ningún paquete, deberá considerar el recompilar/reinstalar cualquier máquina afectada desde cero, o si eso no es posible, recompilar sus  ports/paquetes.

Si se tienen más preguntas respecto a este anuncio, por favor contacte la lista de correo FreeBSD-security@FreeBSD.org , o para preguntas donde la lista de correo pública es inapropiada por favor contacte al equipo de Seguridad de FreeBSD.

 

Nos leeremos en el siguiente artículo.

FreeBSD rulez!

Si esta información te resultó útil considera hacer una donación a mi cuenta de LiteCoin:

LTC:    LhyHJC2eXVCrwHKX1jnMuSHgSijW3XHX2j

_________________________

Eric De La Cruz Lugo, es Licenciado en Informática Administrativa (LIA) con especialidad en sistemas, egresado del Instituto Tecnológico y de Estudios Superiores de Occidente (ITESO), ha sido usuario de FreeBSD desde 1993 y de sistemas UNIX desde 1992, y de Linux desde 1997 (actualmente cuenta con certificación Linux+CompTIA) es profesor de asignatura de la Universidad Tecnológica Metropolitana en Mérida, Yucatán, donde administra servidores corriendo con FreeBSD que hospedan aplicaciones administrativas y la plataforma educativa en línea de la división de TIC (Tecnologías de la Información y Comunicación) de la Universidad. También brinda de forma independiente consultoría profesional a empresas e instituciones, e imparte cursos relacionados con UNIX, Linux y desde luego FreeBSD!, forma parte del equipo de traducción al español del sitio bsdcertification.org, así como Proofreader y betatester de artículos de la revista BSDMag editada en Polonia, que se puede leer mensualmente en bsdmag.org,  también es astrónomo amateur y asesor externo del Planetario Arcadio Poveda Ricalde de Mérida, Yucatán y esta felizmente casado con su amada esposa Marisol Alvarez, puede ser alcanzado en: eric_delacruz@yahoo.com y en eric@iteso.mx)

No Responses to “AVISO IMPORTANTE COMPROMISO DE ALGUNOS SERVIDORES DE FREEBSD.ORG”

No comments have been made on this post



Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*