Инфраструктуру Apache.org взломали, начав с XSS-атаки
4Иллюстрация с сайта Allamericanpatriots.Com
Вчера в блогах apache.org был опубликован подробный отчет о том, как злоумышленникам удалось получить административный доступ на одном из серверов apache.org. Что интересно, все проблемы начались с малого — классической атаки типа XSS («межсайтовый скриптинг»)…
Все началось с того, что злоумышленники опубликовали на сайте хостинга Slicehost сообщение с сокращенной через сервис tinyurl ссылкой на систему отслеживания ошибок JIRA, используемую в Apache Software Foundation. В этой ссылке и была «размещена» XSS-атака: после захода по ней аутентифицированными пользователями (среди которых оказались и администраторы JIRA) злоумышленники получали данные об их сессиях.
Одновременно с этим злоумышленники запустили грубый перебор паролей для формы логина JIRA (login.jsp). Получив в конце концов административные привилегии в JIRA, они изменили некоторые настройки этой системы и создали новые тикеты с приложенными файлами, одним из которых стал специальный JSP-файл, позволявший просматривать файловую систему и копировать ее содержимое. Другие «приложенные файлы» позволили злоумышленникам предоставить доступ через backdoor к системе с использованием аккаунта, под которым был запущен демон JIRA.
После того, как злоумышленники собрали многочисленные пароли пользователей, им повезло еще раз. Один из паролей совпадал с паролем локального пользователя с полным доступом (через sudo) к серверу brutus.apache.org — таким образом, был получен root-доступ к машине, на которой запущены такие сервисы Apache, как JIRA, Confluence и Bugzilla.
Затем злоумышленники попытались воспользоваться сохраненными некоторыми пользователями в кэше Subversion учетными данными с brutus.apache.org для доступа к главному shell-серверу ASF — minotaur.apache.org (он же people.apache.org), однако там превысить привилегии со взломанными аккаунтами им уже не удалось.
Напоследок стоит отметить, что системные администраторы ASF оперативно отреагировали на ситуацию и приняли все необходимые меры по устранению последствий. Кроме того, они не только подробно расписали действия злоумышленников, но и рассказали о том, что было сделано администраторами для того, чтобы исключить возможность возникновения подобных инцидентов в будущем.
Постоянная ссылка к новости: http://www.nixp.ru/news/10352.html. Дмитрий Шурупов по материалам Blogs.Apache.org.
Вышла документалка про Apache Software Foundation — она уже есть на YouTube 1
Canonical пропатчила патчи: последняя порция обновлений вызывала регрессию ядра
Исследователи безопасности нашли 26 уязвимостей в USB-драйверах разных ОС — 18 из них на Linux
Вышла новая версия Subversion 1.14.0, и это LTS 2
Canonical пропатчила ядра четырех Ubuntu — все обновления уже в репозиториях
Sqrrl — Big Data-стартап из Агентства национальной безопасности США для коммерциализации Apache Accumulo
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
«Все, что нас не убивает-делает нас сильнее» Ф.Ницше