Leden van de Kernal-gemeenschap hebben een ongebruikelijk onzorgvuldige houding ten opzichte van beveiliging vastgesteld in de Linuxfx-distributie, die een build biedt van Ubuntu met de KDE-gebruikersomgeving, gestileerd als de Windows 11-interface. Volgens gegevens van de projectwebsite wordt de distributie gebruikt door meer dan een miljoen gebruikers en er zijn deze week ongeveer 15 downloads geregistreerd. De distributiekit biedt activering van extra betaalde functies, wat gebeurt door het invoeren van een licentiesleutel in een speciale grafische applicatie.
Uit een onderzoek van de licentieactiveringstoepassing (/usr/bin/windowsfx-register) bleek dat deze een ingebouwde login en wachtwoord bevat voor toegang tot een extern MySQL DBMS, waaraan gegevens over de nieuwe gebruiker worden toegevoegd. In dit geval kunt u met de gebruikte inloggegevens volledige toegang krijgen tot de database, inclusief de tabel "machines", die informatie weergeeft over alle installaties van de distributie, inclusief IP-adressen van gebruikers. De inhoud van de tabel "fxkeys" met licentiesleutels en e-mailadressen van alle geregistreerde commerciële gebruikers is ook beschikbaar. Het is opmerkelijk dat er, in tegenstelling tot uitspraken over een miljoen gebruikers, slechts 20 records in de database staan. De applicatie is geschreven in Visual Basic en draait met behulp van de Gambas-interpreter.
De reactie van de distributieontwikkelaars verdient bijzondere aandacht. Nadat ze informatie over beveiligingsproblemen hadden gepubliceerd, brachten ze een update uit waarin ze het probleem zelf niet oplosten, maar alleen de databasenaam, login en wachtwoord veranderden, en ook de logica voor het verkrijgen van inloggegevens veranderden en probeerden programmatracering tegen te gaan. In plaats van inloggegevens die in de applicatie zelf waren ingebouwd, hebben de Linuxfx-ontwikkelaars laadparameters toegevoegd om verbinding te maken met de database vanaf een externe server met behulp van het curl-hulpprogramma. Voor bescherming na de lancering is het zoeken en verwijderen van alle actieve “sudo”, “stapbp” en “*-bpfcc” processen in het systeem geïmplementeerd, blijkbaar in de overtuiging dat ze op deze manier de werking van traceerprogramma’s kunnen verstoren .
Bron: opennet.ru