De maker van de populaire Linux-distributie Ubuntu heeft uitgelegd hoe een hacker op 14 juli het officiële Ubuntu-forum wist te hacken en vervolgens de gegevens van 1,8 miljoen gebruikers wist te stelen. De aanval begon met het account van moderator, dat de aanvaller door nog onbekende wijze had overgenomen. Als forumsoftware gebruikt Ubuntu-maker Canonical vBulletin.

De moderator had rechten om in het Forums Announcement-gedeelte berichten te plaatsen, die ook ongefilterde HTML mochten bevatten. Iets wat standaard bij vBulletin staat ingesteld. De aanvaller plaatste een bericht en verstuurde vervolgens een privébericht naar drie Forumbeheerders.

In het bericht beweerde de aanvaller dat er een server-foutmelding op de aankondigingspagina was en vroeg of de beheerders hiernaar wilden kijken. Eén van de forumbeheerders keek naar de aankondigingspagina, maar kon niets vinden en gaf antwoord op het bericht van de aanvaller.

Cross-Site Scripting
31 seconden nadat de forumbeheerder had gekeken en zelfs nog voordat hij kon reageren, was de aanvaller als die forumbeheerder ingelogd. Na overleg met vBulletin stelt Canonical dat de aanvaller Cross-Site Scripting aan zijn bericht had toegevoegd om zo de cookies van de forumbeheerder te stelen.

Toen de aanvaller als forumbeheerder was ingelogd kon hij via het beheerderspaneel van de forumsoftware een 'hook' toevoegen. Hooks in vBulletin zijn willekeurige PHP-code die op elke pagina geladen kunnen worden. De aanvaller installeerde een hook die hij gebruikte om een PHP shell-kit te installeren.

Via deze shell-kit werd vervolgens de gebruikerstabel van de forumdatabase gedumpt en gedownload. Op 20 juli keerde de aanvaller terug om het forum te defacen.

Om herhaling te komen is het nu niet meer mogelijk om hooks toe te voegen, zijn HTML berichten voor iedereen behalve forumbeheerders uitgeschakeld en heeft er overleg met vBulletin plaatsgevonden om de standaardinstellingen te wijzigen of die anders beter naar gebruikers van de forumsoftware te communiceren.