Vaste vol de données sur les forums d’Ubuntu

C’est le 14 juillet dernier, en début de soirée, que les équipes sécurité de Canonical ont été informées que quelqu’un assurait disposer d’une copie des bases de données des forums de l’éditeur consacrés à Ubuntu.

Dans un billet de blog, l’éditeur explique avoir pu confirmer l’intrusion avant de fermer temporairement les forums « à titre de précaution ». C’est en fait l’injection d’une commande SQL spécifique qui a permis cette attaque exploitant une vulnérabilité de Forumrunner, une extension pour phpBB, vBulletin ou encore IPBoard. Ce dernier indique avoir procédé à une mise à jour pour combler la vulnérabilité présente dans la version vBulletin de son extension.

De son côté, Canonical explique que l’attaquant a « pu lire à partir de n’importe quelle table, mais nous pensons qu’il n’a lu qu’à partir de » celle contenant les données relatives aux utilisateurs. Des portions de cette table ont été téléchargées, contenant adresses e-mail et IP de deux millions d’utilisateurs. Mais l’éditeur précise que « aucun mot de passe actif » n’a été compromis : « les mots de passe stockés dans cette table sont des chaînes de caractères aléatoire puisque les forums Ubuntu s’appuient sur Ubuntu Single Sign-On pour les ouvertures de session ». L’attaquant a toutefois téléchargé ces chaînes aléatoires, sans que cela ne présente cependant de risque pour les utilisateurs concernés.

Canoncial indique avoir nettoyé les serveurs de ses forums, mis à niveau vBulletin, réinitialisé tous les mots de passe système et administrateurs, ainsi qu’installé ModSecurity, un pare-feu applicatif Web. L’éditeur assure en outre avoir « amélioré notre surveillance de vBulletin pour assurer que les correctifs de sécurité sont appliqués rapidement ».