Μέλη της κοινότητας Kernal έχουν εντοπίσει μια ασυνήθιστα απρόσεκτη στάση για την ασφάλεια στη διανομή Linuxfx, η οποία προσφέρει μια έκδοση του Ubuntu με το περιβάλλον χρήστη του KDE, στυλιζαρισμένη ως διεπαφή των Windows 11. Σύμφωνα με δεδομένα από τον ιστότοπο του έργου, η διανομή χρησιμοποιείται από περισσότεροι από ένα εκατομμύριο χρήστες και περίπου 15 χιλιάδες λήψεις έχουν καταγραφεί αυτή την εβδομάδα. Το κιτ διανομής προσφέρει ενεργοποίηση πρόσθετων λειτουργιών επί πληρωμή, η οποία γίνεται με την εισαγωγή κλειδιού άδειας χρήσης σε ειδική γραφική εφαρμογή.
Μια μελέτη της εφαρμογής ενεργοποίησης άδειας χρήσης (/usr/bin/windowsfx-register) έδειξε ότι περιλαμβάνει ένα ενσωματωμένο login και κωδικό πρόσβασης για πρόσβαση σε ένα εξωτερικό MySQL DBMS, στο οποίο προστίθενται δεδομένα σχετικά με τον νέο χρήστη. Σε αυτήν την περίπτωση, τα διαπιστευτήρια που χρησιμοποιούνται σάς επιτρέπουν να αποκτήσετε πλήρη πρόσβαση στη βάση δεδομένων, συμπεριλαμβανομένου του πίνακα "μηχανήματα", ο οποίος εμφανίζει πληροφορίες για όλες τις εγκαταστάσεις της διανομής, συμπεριλαμβανομένων των διευθύνσεων IP των χρηστών. Τα περιεχόμενα του πίνακα "fxkeys" με τα κλειδιά άδειας χρήσης και τις διευθύνσεις email όλων των εγγεγραμμένων εμπορικών χρηστών είναι επίσης διαθέσιμα. Αξίζει να σημειωθεί ότι, σε αντίθεση με τις δηλώσεις για ένα εκατομμύριο χρήστες, υπάρχουν μόνο 20 χιλιάδες εγγραφές στη βάση δεδομένων. Η εφαρμογή είναι γραμμένη σε Visual Basic και εκτελείται χρησιμοποιώντας τον διερμηνέα Gambas.
Η αντίδραση των προγραμματιστών διανομής αξίζει ιδιαίτερης προσοχής. Αφού δημοσίευσαν πληροφορίες σχετικά με προβλήματα ασφαλείας, κυκλοφόρησαν μια ενημέρωση στην οποία δεν διόρθωσαν το ίδιο το πρόβλημα, αλλά άλλαξαν μόνο το όνομα, τη σύνδεση και τον κωδικό πρόσβασης της βάσης δεδομένων και επίσης άλλαξαν τη λογική για τη λήψη διαπιστευτηρίων και προσπάθησαν να καταπολεμήσουν την ανίχνευση προγραμμάτων. Αντί για διαπιστευτήρια ενσωματωμένα στην ίδια την εφαρμογή, οι προγραμματιστές του Linuxfx πρόσθεσαν παραμέτρους φόρτωσης για τη σύνδεση στη βάση δεδομένων από έναν εξωτερικό διακομιστή χρησιμοποιώντας το βοηθητικό πρόγραμμα curl. Για προστασία μετά την εκκίνηση, έχει εφαρμοστεί η αναζήτηση και η αφαίρεση όλων των εκτελούμενων διαδικασιών "sudo", "stapbp" και "*-bpfcc" στο σύστημα, προφανώς με την πεποίθηση ότι με αυτόν τον τρόπο μπορούν να παρεμβαίνουν στη λειτουργία των προγραμμάτων ανίχνευσης .
Πηγή: opennet.ru