OSSのホスティングを行っているFossHubが攻撃を受ける、AudacityやClassic Shellにマルウェアが混入 24
ストーリー by hylom
狙われた人気ソフトウェア 部門より
狙われた人気ソフトウェア 部門より
あるAnonymous Coward 曰く、
オープンソースソフトウェアのファイルホスティングサービスを提供しているFossHubが攻撃され、公開されていたオープンソースソフトウェアの一部にマルウェアが組み込まれるというトラブルが発生した(ZDNet)。
マルウェア汚染が確認されたのはAudacityおよびClassic Shell。Audacityの説明によると、攻撃者はなんらかの手法でFossHub.com上のある1つのアカウントの情報を入手し、そのパスワードを使ってFossHubにログイン後、何らかの手法を使って権限昇格を行い、サーバー全体へのアクセス権限を得ていたとのこと。
FossHubはこれを受けてFossHub.comを停止させ、調査およびサーバー全体の初期化を行っているとのこと。また、攻撃者はFossHubが使用しているDNSプロバイダやCDNサービス、メールサービスなどにもアクセスを試みたが、すべて失敗していたという。
MBR破壊 (スコア:1)
http://forest.watch.impress.co.jp/docs/news/1013804.html [impress.co.jp]
によると、MBRを破壊するタイプのウイルスのようですね。
ところで、GPTなディスクでもMBRが破壊されるとディスクが使えなくなるのでしょうか。
Re:MBR破壊 (スコア:1)
Aniversary updateにあわせてClassic Shellバージョンアップしようとして直撃くらいました。
NAVがダウンロード数の少ないアプリなんでやめたほうがいいよっていってくれたのにあれっと思っただけでそのまま起動。あなたの冒険はここで終わってしまったという懐かしいフレーズを読まされました。
サブマシンなんでクリーンインストールのいい機会だと思うことに...。
Re: (スコア:0)
ブート領域がある場合は
GPTでも大抵はハイブリッドMBRの構成だろうから
影響受けるんじゃないかね
現行のが大丈夫だっととしても
ハイブリッドMBR部分への破壊タイプは出そう
てかそういうとこ触れた時点で
バックアップ書き戻しが良いかと
# 万全と思ったらファーム領域に巣食われて救いがない可能性も
Re:MBR破壊 (スコア:1)
ハイブリッドでないにしても、MBR上のFake値が変ることで、GPTとして不正ディスクになるかもしれんね。
# そこまでハイブリッド構成多いかは、実感がないのでなんともわからん
M-FalconSky (暑いか寒い)
Re: (スコア:0)
Anniversary Updateで、Classic Shellを入れていたらOSが起動しなくなったという報告が上がってたけど、実はこのマルウェアのせいだったのか?
Re: (スコア:0)
GPTに対応していないマルウェアが(保護)MBRの情報を鵜呑みにしてディスクを論理破壊してしまうのでは
オフトピですがタイトル間違ってます (スコア:1)
Audiacity→Audacity
Re:オフトピですがタイトル間違ってます (スコア:2)
たまに typo の無い記事を見ると、自分の目を
疑っちゃいますよね。
何らかの手法 (スコア:0)
そうかー
なんでAudacity側で説明が (スコア:0)
AudacityはFossHubの領域を借りてただけの被害者で、
FossHubの管理を担っていたわけではないはずですよね?
なんで攻撃者がFossHubのサーバ内でどんな動きをしたかについて、
Audacity側で発表があるんでしょう……?
Re:なんでAudacity側で説明が (スコア:1)
パスワードを盗まれ、FossHubの侵入に使われたアカウントがAudacity開発者の一人だった、そもそもFossHubが狙われたのはAudacityが人気ありすぎなせい(てへへ)的なことが書いてあらぬか?
Re: (スコア:0)
なるほどそういうことか、ありがとう。
しかしそうすると公式発表するような内容を委ねてしまうレベルでFossHubはAudacityに依存しきってるって事か・・・
凄いというべきかヤバイというべきか。
怖い (スコア:0)
さっきアプデのために他のダウンロードしたけど怖いなあ
Re: (スコア:0)
本気で気にするならダウンロード後しばらくは様子を見るのがいい。
そして脆弱性を放置しそっちで…
署名は? (スコア:0)
Audacityくらいのメジャーなソフトウェアで、寄付も募ってるのにインストーラに署名してなかったのかね。
Re: (スコア:0)
署名なんかあっても意味ないんじゃね。クラシックシェルのほうは署名付きだが署名なしの偽物に引っかかった人がいるみたいだし。
Re: (スコア:0)
署名を見ずにひっかかる奴は知ったこっちゃないが、最初から署名されてないんじゃ確認もできないじゃないか。
Re: (スコア:0)
署名を見ずにひっかかる奴は知ったこっちゃないが、最初から署名されてないんじゃ確認もできないじゃないか。
では確実性向上のために
署名に加え実印での捺印も必須にしましょう
相互安全確認のためユーザーも実印を登録してね
登録はこちらから: ttp://Phishing/m9(^Д^)
こうですねわかりますん!
行ったこと無い (スコア:0)
Audacityは何度か使ったことがあるし、今もHDDに入っているけど
だいたい、カノニカルのサーバーから
apt-getするだけだから、FossHubなんか行ったこと無いのだなぁ…
#osdn.jp/projects/audacity/にはニュース掲示されていないっぽいな
Re: (スコア:0)
何が言いたいんだ。まさかその「カノニカルのサーバ」(笑)ならセキュリティリスクがないとか思ってる?
Re: (スコア:0)
Canonicalのサーバに、何とかして入手したCanonicalの証明書で署名した悪意のあるバイナリをアップロードするのは本件よりは難しい。
aptで公式のレポジトリだと署名なしのファイルは弾かれる。
Re: (スコア:0)
あと、今回はWindows Installer形式のパッケージ
つまり、実行ファイルをそのまま配布するという間抜けな形式が
攻撃をより容易にしていたんじゃないかと思います。
(ZIP形式のほうは感染していなかったみたいです)
LinuxやiOSやAndorid、もちろんUWPでも
インストーラーはOS側に持っていて
実行ファイルでは無いパッケージを取得するようになっていますよね。
怖い (スコア:0)
あっぶねぇ……
Anniversary Updateをクリーンインストールして、丁度Audacity入れようかと思ってた。
即座にまたクリーンインストールやり直す羽目になる所だった……。