Defacement del sito di OpenSSL

OpenSSLIl 29 dicembre scorso verso le 01:00UTC la home page del sito di OpenSSL ha subito un defacement ed è stata sostituita con il messaggio TurkGuvenligiTurkSec Was Here @turkguvenligi + we love openssl _

I file del sito sono stati ripristinati entro le due ore successive, ma i dettagli dell’attacco si sono fatti attendere.

Solamente due giorni dopo è apparso un breve messaggio che spiegava in modo molto generico e onestamente un po’ dubbioso l’accaduto:

Initial investigations show that the attack was made via hypervisor through
the hosting provider and not via any vulnerability in the OS configuration.
Steps have been taken to protect against this means of attack in future.

Messa così sembrava che il software che governa le macchine virtuali fosse stato attaccato; l’hypervisor è lo strato più basso di un sistema di virtualizzazione, nella virtualizzazione bare metal è anche l’ultimo strato di software prima dell’hardware. Un’affermazione di questo tipo implicava un attacco alla macchina host del provider, con tutte le conseguenze del caso.

Poche ore fa, a cinque giorni dall’evento, il comunicato relativo all’incidente è stato modificato e il passaggio con il “dettaglio” dell’accaduto è diventato questo:

Our investigation found that the
attack was made through insecure passwords at the hosting provider,
leading to control of the hypervisor management console, which then
was used to manipulate our virtual server.

Hanno semplicemente hackerato la password dell’utente utilizzato per amministrare la macchina virtuale.

In sostanza, il sistema operativo e tutti i software della macchina virtuale su cui gira il sito hanno ogni tipo di sicurezza e non sono stati utilizzati come vettore di attacco. Il punto debole del sistema è diventato l’utente del pannello di amministrazione della macchina virtuale su cui gira il sito.

Anche qui il comunicato è carente di informazioni che potrebbero essere utili alla comunità per evitare di incorrere nel medesimo tipo di incidente, anche se probabilmente si tratta solamente di un banale furto di credenziali.

Molti fornitori di hosting su macchine virtuali online hanno delle interfacce amministrative via web il cui accesso è regolato dalla sola coppia utente/password senza possibilità di attivare alcun tipo di sicurezza aggiuntiva come, a titolo di esempio, la limitazione degli IP o l’autenticazione a due fattori, la qual cosa rende quell’account l’anello debole di tutta la catena. Benvenuti nel cloud.

Un caso che varrebbe una chiosa ai Teoremi di incompletezza di Gödel.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento