Kernal kopienas dalībnieki ir atklājuši neparasti neuzmanīgu attieksmi pret drošību Linuxfx izplatījumā, kas piedāvā Ubuntu būvējumu ar KDE lietotāja vidi, kas stilizēts kā Windows 11 interfeiss. Saskaņā ar datiem no projekta vietnes, izplatīšanu izmanto vairāk nekā miljons lietotāju, un šonedēļ reģistrēti aptuveni 15 tūkstoši lejupielāžu. Izplatīšana piedāvā papildu maksas funkciju aktivizēšanu, kas tiek veikta, ievadot licences atslēgu speciālā grafiskā aplikācijā.
Licences aktivizēšanas lietojumprogrammas (/usr/bin/windowsfx-register) pētījums parādīja, ka tajā ir iebūvēts pieteikumvārds un parole, lai piekļūtu ārējai MySQL DBVS, kurā tiek pievienoti dati par jauno lietotāju. Šajā gadījumā izmantotie akreditācijas dati ļauj iegūt pilnu piekļuvi datubāzei, tostarp tabulai “mašīnas”, kurā tiek parādīta informācija par visām izplatīšanas instalācijām, ieskaitot lietotāju IP adreses. Ir pieejams arī tabulas "fxkeys" saturs ar licences atslēgām un visu reģistrēto komerciālo lietotāju e-pasta adresēm. Zīmīgi, ka atšķirībā no apgalvojumiem par miljonu lietotāju datu bāzē ir tikai 20 tūkstoši ierakstu. Lietojumprogramma ir uzrakstīta programmā Visual Basic un darbojas, izmantojot Gambas tulku.
Izplatīšanas izstrādātāju reakcija ir pelnījusi īpašu uzmanību. Pēc informācijas publicēšanas par drošības problēmām viņi izlaida atjauninājumu, kurā paši problēmu neatrisināja, bet tikai mainīja datu bāzes nosaukumu, pieteikumvārdu un paroli, kā arī mainīja akreditācijas datu iegūšanas loģiku un mēģināja cīnīties ar programmu izsekošanu. Pašā lietojumprogrammā iebūvēto akreditācijas datu vietā Linuxfx izstrādātāji pievienoja ielādes parametrus, lai izveidotu savienojumu ar datu bāzi no ārēja servera, izmantojot curl utilītu. Aizsardzībai pēc palaišanas ir ieviesta visu sistēmā darbojošos “sudo”, “stapbp” un “*-bpfcc” procesu meklēšana un noņemšana, acīmredzot, ticot, ka tādējādi tie var traucēt izsekošanas programmu darbību. .
Avots: opennet.ru