Инфраструктуру Apache.org взломали

[Dmitry Shurupov]

Вчера в блогах apache.org был опубликован подробный отчет о том, как злоумышленникам удалось получить административный доступ на одном из серверов apache.org. Что интересно, все проблемы начались с малого — классической атаки типа XSS («межсайтовый скриптинг»)...

Все началось с того, что злоумышленники опубликовали на сайте хостинга Slicehost сообщение с сокращенной через сервис tinyurl ссылкой на систему отслеживания ошибок JIRA, используемую в Apache Software Foundation. В этой ссылке и была «размещена» XSS-атака: после захода по ней аутентифицированными пользователями (среди которых оказались и администраторы JIRA) злоумышленники получали данные об их сессиях.

Одновременно с этим злоумышленники запустили грубый перебор паролей для формы логина JIRA (login.jsp). Получив в конце концов административные привилегии в JIRA, они изменили некоторые настройки этой системы и создали новые тикеты с приложенными файлами, одним из которых стал специальный JSP-файл, позволявший просматривать файловую систему и копировать ее содержимое. Другие «приложенные файлы» позволили злоумышленникам предоставить доступ через backdoor к системе с использованием аккаунта, под которым был запущен демон JIRA.

После того, как злоумышленники собрали многочисленные пароли пользователей, им повезло еще раз. Один из паролей совпадал с паролем локального пользователя с полным доступом (через sudo) к серверу brutus.apache.org — таким образом, был получен root-доступ к машине, на которой запущены такие сервисы Apache, как JIRA, Confluence и Bugzilla.

Затем злоумышленники попытались воспользоваться сохраненными некоторыми пользователями в кэше Subversion учетными данными с brutus.apache.org для доступа к главному shell-серверу ASF — minotaur.apache.org (он же people.apache.org), однако там превысить привилегии со взломанными аккаунтами им уже не удалось.

Напоследок стоит отметить, что системные администраторы ASF оперативно отреагировали на ситуацию и приняли все необходимые меры по устранению последствий. Кроме того, они не только подробно расписали действия злоумышленников, но и рассказали о том, что было сделано администраторами для того, чтобы исключить возможность возникновения подобных инцидентов в будущем.

// www.nixp.ru/news/Инфраструктуру-Apache-org-взломали-начав-с-XSS-атаки.html
// подробности на англ. яз.: https://blogs.apache.org/infra/entry/apache_org_04_09_2010

[sash-kan]

мораль сей басни такова: больше паролей, хороших и разных.

[sspphheerraa]

Одновременно с этим злоумышленники запустили грубый перебор паролей для формы логина JIRA (login.jsp).

И что успели перебрать? пароль меньше 6 символов или просто повезло
в общем как-то совсем это по ламерски звучит

[t.t]

Ещё одна мораль: не стоит использовать один и тот же браузер для внутренних защищённых сервисов и брожения по сети.

[varuh]

Ещё одна мораль: не стоит использовать один и тот же браузер для внутренних защищённых сервисов и брожения по сети.

точно, и как раньше в голову не пришло.

[Dmitry Shurupov]

Одновременно с этим злоумышленники запустили грубый перебор паролей для формы логина JIRA (login.jsp).

И что успели перебрать? пароль меньше 6 символов или просто повезло
в общем как-то совсем это по ламерски звучит

On April 5th, the attackers via a compromised Slicehost server opened a new issue, INFRA-2591.

[..]

At the same time as the XSS attack, the attackers started a brute force attack against the JIRA login.jsp, attempting hundreds of thousands of password combinations.

On April 6th, one of these methods was successful.

[sspphheerraa]

>>> hundreds of thousands of password combinations
Мдааа.... не прошло и 6 часов