FreeBSDプロジェクトがサードパーティ製ソフトウェアパッケージの構築に使用している2台のサーバーがハッカーに侵入されました。プロジェクトのセキュリティチームは、9月19日以降にこれらのパッケージをインストールした人は、マシンを完全に再インストールする必要があると警告しました。
FreeBSDセキュリティチームは土曜日、11月11日にFreeBSD.orgクラスタ内の2台のマシンへの侵入が検知されたと発表した。「影響を受けたマシンは分析のためにオフラインにされました。さらに、残りのインフラマシンの大部分も予防措置としてオフラインにされました」と、プロジェクトの公開アナウンスメーリングリストに投稿されたメッセージで報告されている。
FreeBSDプロジェクトはウェブサイトに掲載した勧告の中で、侵害を受けた2台のサーバーはプロジェクトの旧来のサードパーティ製パッケージ構築インフラのノードとして機能していたと述べた。
このインシデントの影響は、プロジェクトによって配布されたサードパーティ製ソフトウェア パッケージのコレクションにのみ及んでおり、カーネル、システム ライブラリ、コンパイラ、コア コマンドライン ツールなどのオペレーティング システムの「基本」コンポーネントには及んでいません。
FreeBSD セキュリティ チームは、侵入者がオペレーティング システムの脆弱性を悪用したのではなく、開発者から盗んだ正当な SSH 認証キーを使用してサーバーにアクセスしたと考えています。
チームはハッカーによってサードパーティのソフトウェア パッケージが改変されたという証拠を見つけられなかったものの、この可能性を排除することはできない。
「残念ながら、2012年9月19日から2012年11月11日までの間にインストール可能なパッケージ、およびsvn.freebsd.orgまたはそのミラーサイト以外から入手したツリーからコンパイルされたportsの完全性を保証することはできません」とチームは述べています。「改ざんがあったことを示す証拠はなく、そのような干渉は考えにくいと考えていますが、信頼できるソースからマシンを最初から再インストールすることを検討することをお勧めします。」
現在FreeBSDのすべてのバージョンで利用可能なパッケージセットは検証されており、いずれもいかなる形でも変更されていないとチームでは述べている。
このインシデントを受けて、FreeBSDプロジェクトは、CVSupベースのものなど、従来のディストリビューションサービスの廃止を加速し、より堅牢なSubversionシステムへの移行を進める予定です。この勧告には、アップデート、ソースコードのコピー、署名付きバイナリの配布にユーザーと開発者が使用すべきツールに関する推奨事項がいくつか含まれています。
オープンソースソフトウェアプロジェクトがSSH認証鍵の侵害による侵入に対処しなければならなかったのは、今回が初めてではありません。2009年8月、Apacheプロジェクトは、ハッカーが自動バックアップアカウントに関連付けられたSSH鍵を使用して、一部のサーバーに悪意のあるコードをアップロード・実行していたことが判明し、プライマリWebサーバーとミラーサーバーのシャットダウンを余儀なくされました。
「これは、鎖の強さは最も弱い環の強さで決まるということを改めて思い起こさせる出来事です」と、ウイルス対策ベンダーSophosのアジア太平洋地域技術責任者、ポール・ダックリン氏は日曜日のブログ投稿で述べた。「特に、社内システムのセキュリティは、リモートアクセスを受け入れるあらゆる外部システム ― サーバー、ラップトップ、モバイルデバイスなど ― のセキュリティと同程度である可能性もあることを決して忘れてはなりません。」
