Проект Apache подвергся взлому
Организация Apache Software Foundation обнародовала информацию о проведении неизвестными злоумышленниками атаки, связанной с организацией перехвата паролей девелоперов ч/з подмену формы авторизации для сервисов отслеживания ошибок Atlassian JIRA, Conflue
🕛 15.04.2010, 10:47
Всем пользователям вышеуказанных сервисов, осуществлявших работу в системе с 6 по 9 апреля рекомендуется срочно сменить пароль. Потому как злоумышленники получили доступ к базам с хэш-функциями паролей рекомендация о смене пароля к тому же адресована пользователям, использующим словарные или простые пароли.Хронология взлома смотрится так: 5 апреля злоумышленники создали в сервисе осмысленное уведомление об ошибке "INFRA-259", пожаловавшись на трудности с открытием некоторых страниц на сайтах Apache и приложили ссылку, демонстрирующую суть трудности и указывающую на страницу, на которую был добавлен JAVASCRIPT-код, осуществляющий перехват сессионных cookie путем XSS-атаки. Несколько девелоперов проекта ничего не подозревая перешли по ссылке и в руках у злоумышленников стали данные для приобретения административного доступа в систему трекинга ошибок JIRA. Одновременно атакующие предприняли "brute force" атаку по подбору простых паролей на странице login.jsp.
Получив права администратора сервиса JIRA, злоумышленники выключили систему отправки уведомлений и изменили пути для загрузки дополнений к сообщениям об ошибках. Новый путь был перенаправлен на директорию, допускающую исполнение JSP-файлов. Соответственно, загрузив подобный файл под видом приложения к тикету, злоумышленникам удалось выполнить собственный код на сервере, что дало возможность им скопировать содержимое служебных файлов, в количестве которых стали домашние каталоги пользователей и файлы с хэшами паролей. После этого злоумышленники оставили себе лазейку (backdoor) для приобретения доступа в будущем.
Утром 9 апреля злоумышленники скопировали на сервер JAR-файл, предназначенный для сбора открытых паролей пользователей, вводимых ими ч/з web-форму аутентификации и направили к разработчикам от имени администраторов проекта запрос на смену паролей, указав в письме непродолжительный пароль для входа. Многие создатели, решив, что образовалась сложность с сервисом, последовали совету, вошли в систему под предложенным временным паролем и поменяли пароль на собственный реальный пароль, используемый и в иных сервисах Apache.
Перехваченные пароли позволили злоумышленникам получить характеристики входа на сервер brutus.apache.org, на коем 1 из перехваченных аккаунтов имел полный доступ к выполнению команды sudo, дающей право запуска команд с root-правами. На данном сервере были размещены сервисы JIRA, Confluence и Bugzilla. Получив root-права, злоумышленники отыскали в системе пользователей, у которых были прокешированы в домашней директории характеристики аутентификации в репозитории Subversion и пароли для входа на машину people.apache.org (minotaur.apache.org) - основной сервер с shell-аккаунтами девелоперов. К радости на сервере minotaur.apache.org злоумышленникам не получилось увеличить свои привилегии.
Через 6 часов после начала атаки, администраторы проекта заподозрили неладное и начали отключать сервисы и переносить их на иные серверы. 10 апреля работа JIRA и Bugzilla была восстановлена. 13 апреля были выпущены патчи для защиты JIRA от XSS-атак. Работа по восстановлению Confluence wiki еще не завершена.