В сети появились сведения о возможном взломе элементов инфраструктуры проекта OpenSSL, в рамках которого развивается популярная свободная библиотека с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. При открытии сайта проекта пользователям выдавалась страница с информацией злоумышленников о совершённом дефейсе.

Следует отметить, что следы дефейса наблюдались около двух часов назад. В настоящий момент сайты www.openssl.org, openssl.net и www.openssl.net отдают информацию в штатном режиме, а сайт openssl.org не отвечает на запросы и указывает на IP почтового сервера. Никакой официальной информации о взломе и деталей возникновения инцидента пока не опубликовано.

В качестве наиболее вероятного сценария атаки можно предположить совершение перенаправления пользователей на хост злоумышленников через подмену данных на уровне DNS. Данные о взломе подтверждены в твиттере турецкой группы TurkGuvenligi, которая была упомянута на странице, отображаемой после проведения дефейса. Группа TurkGuvenligi ранее получила известность совершением атаки на регистраторов доменов, которая привела к перенаправлению сайтов Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register.

Вероятно и в случае с OpenSSL.org атака совершена на стороне регистратора. В пользу данной версии говорит отсутствие упоминаний о дефейсе openssl.net, размещённом на том же виртуальном хосте, что и www.openssl.org. Против данной гипотезы выступает упоминание некоторыми пользователями возможности доступа к остальным страницам сайта при подмене только заглавной страницы (не исключено, что эти страницы могли быть отображены из кэша или отзеркалированы атакующими на подставной хост) и отсутствие вывода предупреждения при доступе к подменённой странице по HTTPS.

Дополнение 1: Разработчики OpenSSL подтвердили факт подмены содержимого страницы на сайте через проникновение на сервер инфраструктуры проекта. Сообщается лишь то, что репозитории с кодом не пострадали и были верифицированы на предмет внесения возможных изменений. Подробности пока не приводятся, но будут представлены в специальном отчёте.

Дополнение 2: Опубликованы первые детали взлома сайта OpenSSL. Сайт проекта был размещён не на отдельном сервере, а в виртуальном окружении одного из хостинг-провайдеров. Атакующие получили доступ к содержимому окружения через эксплуатацию уязвимости в гипервизоре, предварительно взломав незащищённое виртуальное окружение другого клиента, размещённого на том же физическом сервере. Уязвимостей в конфигурации окружения проекта OpenSSL не зафиксировано. Никаких изменений, кроме подмены файла index.html, не выявлено.

Источник: http://www.opennet.ru/opennews/art.shtml?num=38747