„Kernal“ bendruomenės nariai nustatė neįprastai nerūpestingą požiūrį į saugumą „Linuxfx“ paskirstyme, kuris siūlo „Ubuntu“ versiją su KDE vartotojo aplinka, stilizuotą kaip „Windows 11“ sąsaja. Remiantis projekto svetainės duomenimis, platinimą naudoja daugiau nei milijonas vartotojų, o šią savaitę užfiksuota apie 15 tūkst. Platinimo rinkinys siūlo aktyvinti papildomas mokamas funkcijas, kurios atliekamos įvedus licencijos raktą specialioje grafinėje programoje.
Licencijos aktyvinimo programos (/usr/bin/windowsfx-register) tyrimas parodė, kad joje yra integruotas prisijungimo vardas ir slaptažodis, leidžiantis pasiekti išorinę MySQL DBVS, į kurią įtraukiami duomenys apie naują vartotoją. Šiuo atveju naudojami kredencialai leidžia gauti visišką prieigą prie duomenų bazės, įskaitant lentelę „mašinos“, kurioje rodoma informacija apie visus platinimo įrenginius, įskaitant vartotojo IP adresus. Taip pat galima rasti „fxkeys“ lentelės turinį su licencijų raktais ir visų registruotų komercinių vartotojų el. pašto adresais. Pastebėtina, kad, priešingai nei teiginiai apie milijoną vartotojų, duomenų bazėje yra tik 20 tūkstančių įrašų. Programa parašyta „Visual Basic“ ir veikia naudojant „Gambas“ interpretatorių.
Platinimo kūrėjų reakcija nusipelno ypatingo dėmesio. Paskelbę informaciją apie saugos problemas, jie išleido atnaujinimą, kuriame pačios problemos neišsprendė, o tik pakeitė duomenų bazės pavadinimą, prisijungimo vardą ir slaptažodį, taip pat pakeitė kredencialų gavimo logiką bei bandė kovoti su programų sekimu. Vietoj kredencialų, integruotų pačioje programoje, „Linuxfx“ kūrėjai pridėjo įkėlimo parametrus, skirtus prisijungti prie duomenų bazės iš išorinio serverio, naudodami curl įrankį. Apsaugai po paleidimo buvo įdiegta visų sistemoje veikiančių „sudo“, „stapbp“ ir „*-bpfcc“ procesų paieška ir pašalinimas, matyt, tikint, kad tokiu būdu jie gali trukdyti sekimo programų veikimui. .
Šaltinis: opennet.ru