Vi har undersøgt disse påstande grundigt. Der er ikke noget offentlig SVN/CVS over hvilke ændringer, der er lavet hvornår - men så vidt vi kan se, er det kun de nyeste versioner, som er omfattet.
Hver nat omkring kl 3.40 kalder Trixbox automatisk op til en Heartbeat server og henter en række kommandoer som afvikles på den lokale Asterisk maskine, hvorefter resultatet sendes tilbage til statistik serveren.
Desværre eksekveres kommandoerne med root privilegier og udgør derfor en
væsentlig risiko.
Hvis Heartbeat serveren der kontaktes eller ens DNS server bliver hacket, vil
det være let for en hacker at opnå fuldstændig kontrol med den enkelte
Trixbox.
Eksempler på kommandoer som har været kørt:
Cmd: /bin/uname -r
Cmd: /bin/rpm -q -a
Cmd: /sbin/lspci -vn
Cmd: /usr/sbin/dmidecode
Cmd: /usr/sbin/wanrouter version
Cmd: /usr/sbin/wanrouter hwprobe verbose
Cmd: /usr/sbin/asterisk -V
Cmd: /bin/cat /etc/redhat-release
Cmd: /bin/cat /etc/trixbox/trixbox-version
Cmd: /bin/cat /etc/trixbox/.regData
Det største problem er at kommandoerne hentes fra en anden server, og derfor ikke nemme at opdage.
Årsagen til at scriptet eksisterer er, at det skal bruges til at samle statistik til Trixbox, men det er desværre implementeret på en uforsvarlig måde rent sikkerhedsmæssigt.
Vi anbefaler, at /var/adm/bin/registry.pl fjernes hurtigst muligt fra alle
trixbox systemer, og at cron jobbet stoppes (crontab -e).
Det vil under alle omstændigheder være en rigtig god ide at kontrollere, om der ligger job i cron, som I ikke selv har sat til.
Svar fra freepbx på følgende tråd:
Vi anser ikke det for et argument at de afstår fra muligheden for at ændre scriptet er det samme som at en hacker ikke skulle kunne. Hvis de ville låse sig fast så kunne de bare opdatere scriptet til en gang for alle at køre den række kommandoer uden at hente dem fra heartbeat serveren.
