SMF: forum anti-virusbedrijf Avast gehackt via admin
De recente inbraak op het forum van anti-virusbedrijf Avast waarbij de gegevens van 350.000 gebruikers werden gestolen was niet het gevolg van een lek in de forumsoftware, maar van een gecompromitteerd beheerdersaccount. Daarnaast was het forum al maanden eerder gehackt, zo stelt forumbouwer SMF.
Het forum van Avast draaide op de forumsoftware van SMF (Simple Machines Forum). Na de bekendmaking legde Avast de schuld direct bij SMF neer. "Het is nog niet duidelijk of de aanval via een zero-day-lek is uitgevoerd, of een lek dat stilletjes in SMF 2.0.7 is gepatcht en nooit is aangekondigd", aldus een woordvoerder van de virusbestrijder destijds.
SMF reageerde hierop en stelde dat het Avast om informatie had gevraagd, maar niet had gekregen. Deze oproep werd uiteindelijk wel door Avast beantwoord en de virusbestrijder verstrekte de code van de gehackte site alsmede de logbestanden van de server.
Onderzoek
SMF stelt dat het samen met Avast tot een verklaring wilde komen, maar dat het nooit meer iets van het anti-virusbedrijf heeft vernomen. Daarom besloot de forumbouwer om de resultaten van het onderzoek te openbaren. Daaruit blijkt dat de aanvaller geen beveiligingslek in SMF gebruikte om binnen te komen. Ook had de aanvaller al maanden voor de bekendmaking toegang tot het forum verkregen. Zijn aanwezigheid viel echter op toen hij iets opvallends in mei deed.
Het is dan ook de vraag hoe de aanvaller wel wist binnen te komen. Volgens SMF gebruikte de aanvaller een gecompromitteerd adminaccount van Avast. Hoewel het deze conclusie trekt heeft het hiervoor geen specifiek bewijs. De forumbouwer wijst echter naar een inbraak op het eigen forum die vorig jaar plaatsvond.
Eén van de beheerders gebruikte het wachtwoord van de SMF-website ook op een andere website. Deze niet nader genoemde website werd gehackt, waarna de aanvallers ook toegang tot de SMF-website wisten te krijgen en met adminrechten konden inloggen.
Permissies
Avast liet SMF wel weten dat het de permissies van de forumbestanden niet had vergrendeld. Een belangrijke beveiligingsmaatregel die de virusbestrijder vergeten was te nemen. Zelfs als de aanvaller het adminaccount had gecompromitteerd, had hij nog steeds een FTP-wachtwoord nodig gehad om de bestanden aan te passen waarvan de permissies waren vergrendeld.
Iets wat nu niet het geval was. Na het verkrijgen van toegang het beheerdersaccount had de aanvaller dan ook volledige controle over het systeem. SMF adviseert beheerders dan ook om overal unieke wachtwoorden te gebruiken en permissies goed in te stellen.
Hashes
Als laatste waarschuwt de forumbouwer dat SMF 1.1.x en 2.0.x SHA1 als hashingalgoritme gebruiken. Een aanvaller met voldoende rekenkracht kan hierdoor de bij Avast buitgemaakte wachtwoordhashes proberen te "kraken" en zo de bijbehorende wachtwoorden achterhalen. In versie 2.1 van de software zal de beveiliging van de wachtwoordopslag en encryptie worden aangescherpt. Aanpassingen die al in de planning stonden voordat erop het forum van Avast werd ingebroken. Avast heeft nog niet op de verklaring van SMF gereageerd. Daarnaast is het forum van de virusbestrijder nog steeds offline.
1)
"De recente inbraak op het forum..."
De hack/inbraak is gedaan op het webboard.
Het is een webboard.
Een forum is daar (slechts) een onderdeel van.
2)
"Hoewel het deze conclusie trekt heeft het hiervoor geen specifiek bewijs."
Een conclusie die dus enkel op een vermoeden gestoeld is, is een ontzettend domme en totaal te negeren conclusie.
Uiteraard kan het zo zijn, maar zonder bewijs dient men dit niet te beweren.
3)
"Eén van de beheerders gebruikte het wachtwoord van de SMF-website ook op een andere website."
Tja, hoe vaak moet men er nog op gewezen worden dit niet te doen? *zucht*
Zeker een admin zou beter moeten weten.
Gebruikt hij/zij toch hetzelfde wachtwoord op meerdere plaatsen.. Gelijk op staande voet ontslaan!
4)
"Avast liet SMF wel weten dat het de permissies van de forumbestanden niet had vergrendeld. Een belangrijke beveiligingsmaatregel die de virusbestrijder vergeten was te nemen."
Ontzettend slordig om het maar eens heel zachtjes uit te drukken.
5)
Wat mij ook is opgevallen, is dat ze het webboard niet draaiden op een https server, laat staan dat ze hsts ervoor gebruikten. Van een bedrijf dat beveiligingssoftware maakt mag men dat toch wel verwachten.
6)
Ondanks dit gebeuren behoort hun software (voor pc's) nog steeds tot de beste in de wereld en kan men die gerust gebruiken. Bekijk het op deze manier. Een fabrikant van hele goede auto's gaat ook fietsen produceren. De fietsen vallen (figuurlijk gesproken) uit elkaar als je er enkel al naar kijkt. Dat wil dus niet zeggen dat ook al hun auto's ineens slecht zijn. Het zijn twee verschillende dingen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
