Регистратор APNIC, отвечающий за распределение IP-адресов в Азиатско-Тихоокеанском регионе, по недосмотру опубликовал хэши паролей в составе архива БД сервиса Whois после модернизации инфраструктуры. Произошла утечка в июне, а обнаружена только 12 октября.
До момента утечки третьи лица располагали доступом к информации в рамках специального соглашения. Проблема стала известна благодаря команде eBay Red Team, которая выявила наличие архива с хэшами в общедоступном виде на одном из публичных ресурсов.
В открытом доступе оказалось содержимое атрибута “auth” c хэшами паролей к объектам Maintainer и Incident Response Team (IRT). Объект Maintainer определяет ответственного за изменение группы запиcей, связанных через атрибут “mnt-by”. Объект IRT содержит контактные данные администраторов, которые отвечают на уведомления о проблемах.
Для хэширования использовались устаревшие алгоритмы MD5 и CRYPT-PW (8-символьные пароли c хэшами на базе функции UNIX crypt), что говорит о том, что при наличии должных инструментов вполне можно подобрать для хэша пароль. В случае восстановления паролей, атакующие имели возможность изменить содержимое полей с параметрами владельцев блоков IP-адресов в Whois.
После того, как инцидент всплыл на поверхность, был инициирован сброс паролей для всех объектов в Whois. Однако регистратор продолжает изучение логов на предмет компрометации отдельных записей в базе данных при помощи восстановленных из хэшей паролей. По информации на сегодня никаких признаков действий злоумышленников в их отношении выявлено не было.
Источник: opennet.ru
