Информационные технологии
Организация Apache Software Foundation обнародовала информацию о проведении неизвестными злоумышленниками атаки, связанной с организацией перехвата паролей девелоперов ч/з подмену формы авторизации для сервисов отслеживания ошибок Atlassian JIRA, Conflue

Проект Apache подвергся взлому

Всем пользователям вышеуказанных сервисов, осуществлявших работу в системе с 6 по 9 апреля рекомендуется срочно сменить пароль. Потому как злоумышленники получили доступ к базам с хэш-функциями паролей рекомендация о смене пароля к тому же адресована пользователям, использующим словарные или простые пароли.

Хронология взлома смотрится так: 5 апреля злоумышленники создали в сервисе осмысленное уведомление об ошибке "INFRA-259", пожаловавшись на трудности с открытием некоторых страниц на сайтах Apache и приложили ссылку, демонстрирующую суть трудности и указывающую на страницу, на которую был добавлен JAVASCRIPT-код, осуществляющий перехват сессионных cookie путем XSS-атаки. Несколько девелоперов проекта ничего не подозревая перешли по ссылке и в руках у злоумышленников стали данные для приобретения административного доступа в систему трекинга ошибок JIRA. Одновременно атакующие предприняли "brute force" атаку по подбору простых паролей на странице login.jsp.

Получив права администратора сервиса JIRA, злоумышленники выключили систему отправки уведомлений и изменили пути для загрузки дополнений к сообщениям об ошибках. Новый путь был перенаправлен на директорию, допускающую исполнение JSP-файлов. Соответственно, загрузив подобный файл под видом приложения к тикету, злоумышленникам удалось выполнить собственный код на сервере, что дало возможность им скопировать содержимое служебных файлов, в количестве которых стали домашние каталоги пользователей и файлы с хэшами паролей. После этого злоумышленники оставили себе лазейку (backdoor) для приобретения доступа в будущем.

Утром 9 апреля злоумышленники скопировали на сервер JAR-файл, предназначенный для сбора открытых паролей пользователей, вводимых ими ч/з web-форму аутентификации и направили к разработчикам от имени администраторов проекта запрос на смену паролей, указав в письме непродолжительный пароль для входа. Многие создатели, решив, что образовалась сложность с сервисом, последовали совету, вошли в систему под предложенным временным паролем и поменяли пароль на собственный реальный пароль, используемый и в иных сервисах Apache.

Перехваченные пароли позволили злоумышленникам получить характеристики входа на сервер brutus.apache.org, на коем 1 из перехваченных аккаунтов имел полный доступ к выполнению команды sudo, дающей право запуска команд с root-правами. На данном сервере были размещены сервисы JIRA, Confluence и Bugzilla. Получив root-права, злоумышленники отыскали в системе пользователей, у которых были прокешированы в домашней директории характеристики аутентификации в репозитории Subversion и пароли для входа на машину people.apache.org (minotaur.apache.org) - основной сервер с shell-аккаунтами девелоперов. К радости на сервере minotaur.apache.org злоумышленникам не получилось увеличить свои привилегии.

Через 6 часов после начала атаки, администраторы проекта заподозрили неладное и начали отключать сервисы и переносить их на иные серверы. 10 апреля работа JIRA и Bugzilla была восстановлена. 13 апреля были выпущены патчи для защиты JIRA от XSS-атак. Работа по восстановлению Confluence wiki еще не завершена.

Новости безопасности   Теги: Apache, Взлом



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Проект Apache подвергся взлому, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Инсайдерам доступна сборка 19002 Windows 10 20H1 - 18.10.2019: STFW.Ru: Компания Microsoft уже подготовила окончательную сборку текущего крупного


•  National Interest рассказал о "настоящем" российском оружии "Судного дня" - 18.10.2019: STFW.Ru: Журнал National Interest рассказал о новом российском атомном подводном крейсере


•  Состоялась демонстрация экспериментальной платформы "Маркер" - 18.10.2019: STFW.Ru: 17 октября в Магнитогорске в рамках выездного заседания рабочей группы


•  Роботы в океане Астраханские ученые создают безэкипажный флот для морских исследований - 18.10.2019: STFW.Ru: Команда астраханских ученых разработала цифровые модели исследовательских


•  Резкое похудение оказалось связано с риском ранней смерти - 18.10.2019: STFW.Ru: Если люди в среднем и пожилом возрасте резко сбрасывают вес, это может резко


•  Папоротник из Лондонского зоопарка впервые "сделал селфи" - 18.10.2019: STFW.Ru: Папоротник по имени Пит сумел "снять" сам себя на фотокамеру. Ее батарея