ubuntuforums.org usa el software vBulletin para la gestión de los foros. vBulletin está basado en PHP, posee licencia propietaria, y su desarrollo se inició en el año 2000. La última versión publicada data del 25 de mayo de 2012, hace más de un año.
Ahora con una cuenta de administrador y a través de una funcionalidad propia de vBulletin, el atacante podía ejecutar código PHP. Con esto consiguió subir dos shells en PHP y a través de ellas hizo un volcado de la base de datos (MySQL) asociada a los foros. Posteriormente volvió a loguearse el día 20 de julio para cambiar la página de inicio por un mensaje reivindicando el ataque.
Buenos Dìas.-
Estimada comunidad de UBUNTO, debido a los datos sustraídos que comprendían las cuentas de correos de los usuarios así como los hashes de las contraseñas de acceso a los foros. recomiendo eliminar los cookies, historial de sitios,evitar los anuncion publicitarios en la web. y por nada del mundo almacene claves o numèros de cuentas bancarias en sus correos(Pc y Moviles).ya que estos son vulnerados…
att.
Marcos Morocho
Tècnico en Soporte IT
Guayaquil-Ecuador
Buenos días.
Dejando aparte el interesante contenido de la noticia, me sorprenden los abundantes errores ortográficos que contiene, especialmente la falta de tildes en pronombres (cómo, qué, quién) y la incorrecta separación del sujeto del verbo mediante una coma [«no se aportan detalles, tan solo Canonical afirma»].
Un saludo afectuoso.