Anggota komunitas Kernal telah mengidentifikasi sikap ceroboh yang luar biasa terhadap keamanan dalam distribusi Linuxfx, yang menawarkan versi Ubuntu dengan lingkungan pengguna KDE, bergaya antarmuka Windows 11. Menurut data dari situs proyek, distribusi tersebut digunakan oleh lebih dari satu juta pengguna, dan sekitar 15 ribu unduhan telah tercatat minggu ini. Kit distribusi menawarkan aktivasi fitur berbayar tambahan, yang dilakukan dengan memasukkan kunci lisensi dalam aplikasi grafis khusus.
Sebuah studi tentang aplikasi aktivasi lisensi (/usr/bin/windowsfx-register) menunjukkan bahwa aplikasi tersebut menyertakan login dan kata sandi bawaan untuk mengakses DBMS MySQL eksternal, yang ke dalamnya data tentang pengguna baru ditambahkan. Dalam hal ini, kredensial yang digunakan memungkinkan Anda mendapatkan akses penuh ke database, termasuk tabel “mesin”, yang menampilkan informasi tentang semua instalasi distribusi, termasuk alamat IP pengguna. Isi tabel "fxkeys" dengan kunci lisensi dan alamat email semua pengguna komersial terdaftar juga tersedia. Patut dicatat bahwa, berbeda dengan pernyataan tentang satu juta pengguna, hanya ada 20 ribu catatan di database. Aplikasi ini ditulis dalam Visual Basic dan dijalankan menggunakan interpreter Gambas.
Reaksi para pengembang distribusi patut mendapat perhatian khusus. Setelah mempublikasikan informasi tentang masalah keamanan, mereka merilis pembaruan yang tidak memperbaiki masalah itu sendiri, tetapi hanya mengubah nama database, login dan kata sandi, dan juga mengubah logika untuk mendapatkan kredensial dan mencoba memerangi pelacakan program. Alih-alih kredensial yang dibangun ke dalam aplikasi itu sendiri, pengembang Linuxfx menambahkan parameter pemuatan untuk menghubungkan ke database dari server eksternal menggunakan utilitas curl. Untuk perlindungan pasca peluncuran, pencarian dan penghapusan semua proses “sudo”, “stapbp” dan “*-bpfcc” yang berjalan di sistem telah diterapkan, tampaknya dengan keyakinan bahwa dengan cara ini proses tersebut dapat mengganggu pengoperasian program penelusuran .
Sumber: opennet.ru