Организация Apache Software Foundation подверглась взлому

13 апреля в Сети появилась информацию о том, что проект Apache подвергся проведению неизвестными злоумышленниками атаки, связанной с организацией перехвата паролей разработчиков системы через подмену формы авторизации для сервисов отслеживания ошибок Atlassian JIRA, Confluence и Bugzilla. Данная информация появилась в блоге  организации Apache Software Foundation - Внешняя ссылка открывается в новом окнеblogs.apache.org под названием Внешняя ссылка открывается в новом окне"apache.org incident report for 04/09/2010". Хронологию взлома, на Внешняя ссылка открывается в новом окнеopennet.ru, к примеру, описывают так: "5 апреля злоумышленники создали в сервисе осмысленное уведомление об ошибке "INFRA-259", пожаловавшись на проблемы с открытием некоторых страниц на сайтах Apache и приложили ссылку, демонстрирующую суть проблемы и указывающую на страницу, на которую был добавлен JavaScript-код, осуществляющий перехват сессионных cookie путем XSS-атаки. Несколько разработчиков проекта ничего не подозревая перешли по ссылке и в руках у злоумышленников оказались данные для получения административного доступа в систему трекинга ошибок JIRA. Одновременно атакующие предприняли "brute force" атаку по подбору простых паролей на странице login.jsp. Получив права администратора сервиса JIRA, злоумышленники отключили систему отправки уведомлений и изменили пути для загрузки дополнений к сообщениям об ошибках. Новый путь был перенаправлен на директорию, допускающую выполнение JSP-файлов. Соответственно, загрузив такой файл под видом приложения к тикету, злоумышленникам удалось выполнить свой код на сервере, что позволило им скопировать содержимое служебных файлов, в числе которых оказались домашние каталоги пользователей и файлы с хэшами паролей. После этого злоумышленники оставили себе лазейку (backdoor) для получения доступа в будущем. Утром 9 апреля злоумышленники скопировали на сервер JAR-файл, предназначенный для сбора открытых паролей пользователей, вводимых ими через web-форму аутентификации и направили к разработчикам от имени администраторов проекта запрос на смену паролей, указав в письме временный пароль для входа. Многие разработчики, решив, что возникла проблема с сервисом, последовали совету, вошли в систему под предложенным временным паролем и поменяли пароль на свой настоящий пароль, используемый и в других сервисах Apache. Перехваченные пароли позволили злоумышленникам получить параметры входа на сервер brutus.apache.org, на котором один из перехваченных аккаунтов имел полный доступ к выполнению команды sudo, дающей право запуска команд с root-правами. На данном сервере были размещены сервисы JIRA, Confluence и Bugzilla. Получив root-права, злоумышленники нашли в системе пользователей, у которых были прокешированы в домашней директории параметры аутентификации в репозитории Subversion и пароли для входа на машину people.apache.org (minotaur.apache.org) - основной сервер с shell-аккаунтами разработчиков. К счастью на сервере minotaur.apache.org злоумышленникам не удалось повысить свои привилегии. Спустя 6 часов после начала атаки, администраторы проекта заподозрили неладное и начали отключать сервисы и переносить их на другие серверы. 10 апреля работа JIRA и Bugzilla была восстановлена. 13 апреля были выпущены патчи для защиты JIRA от XSS-атак. Работа по восстановлению Confluence wiki еще не завершена". Всем пользователям, кто пользуется сервисами Atlassian JIRA, Confluence и Bugzilla и кто осуществлял работу в системе с 6 по 9 апреля рекомендуется срочно сменить пароль. Поскольку злоумышленники получили доступ к базам с хэш-функциями паролей рекомендация о смене пароля также адресована пользователям, использующим простые или словарные пароли.

©  Root.UA