Los miembros de la comunidad Kernal han identificado una actitud inusualmente descuidada hacia la seguridad en la distribución Linuxfx, que ofrece una versión de Ubuntu con el entorno de usuario KDE, estilizada como la interfaz de Windows 11. Según datos del sitio web del proyecto, la distribución es utilizada por más de un millón de usuarios y esta semana se han registrado alrededor de 15 mil descargas. La distribución ofrece activación de funciones pagas adicionales, que se realiza ingresando una clave de licencia en una aplicación gráfica especial.
Un estudio de la aplicación de activación de licencia (/usr/bin/windowsfx-register) mostró que incluye un nombre de usuario y una contraseña integrados para acceder a un DBMS MySQL externo, al que se agregan datos sobre el nuevo usuario. En este caso, las credenciales utilizadas le permiten obtener acceso completo a la base de datos, incluida la tabla "máquinas", que muestra información sobre todas las instalaciones de la distribución, incluidas las direcciones IP de los usuarios. También está disponible el contenido de la tabla "fxkeys" con claves de licencia y direcciones de correo electrónico de todos los usuarios comerciales registrados. Es de destacar que, a diferencia de las declaraciones sobre un millón de usuarios, en la base de datos solo hay 20 mil registros. La aplicación está escrita en Visual Basic y se ejecuta utilizando el intérprete Gambas.
La reacción de los desarrolladores de la distribución merece una atención especial. Después de publicar información sobre problemas de seguridad, lanzaron una actualización en la que no solucionaron el problema en sí, sino que solo cambiaron el nombre de la base de datos, el nombre de usuario y la contraseña, y también cambiaron la lógica para obtener credenciales e intentaron combatir el rastreo del programa. En lugar de credenciales integradas en la aplicación misma, los desarrolladores de Linuxfx agregaron parámetros de carga para conectarse a la base de datos desde un servidor externo usando la utilidad curl. Para la protección posterior al lanzamiento, se ha implementado la búsqueda y eliminación de todos los procesos "sudo", "stapbp" y "*-bpfcc" en ejecución en el sistema, aparentemente con la creencia de que de esta manera pueden interferir con el funcionamiento de los programas de rastreo. .
Fuente: opennet.ru