nixp.ru v3.0

27 декабря 2024,
пятница,
19:14:29 MSK

14 апреля 2010, 17:07

Инфраструктуру Apache.org взломали, начав с XSS-атаки

4
Боевые вертолеты Apache
Боевые вертолеты Apache
Иллюстрация с сайта Allamericanpatriots.Com

Вчера в блогах apache.org был опубликован подробный отчет о том, как злоумышленникам удалось получить административный доступ на одном из серверов apache.org. Что интересно, все проблемы начались с малого — классической атаки типа XSS («межсайтовый скриптинг»)…

Все началось с того, что злоумышленники опубликовали на сайте хостинга Slicehost сообщение с сокращенной через сервис tinyurl ссылкой на систему отслеживания ошибок JIRA, используемую в Apache Software Foundation. В этой ссылке и была «размещена» XSS-атака: после захода по ней аутентифицированными пользователями (среди которых оказались и администраторы JIRA) злоумышленники получали данные об их сессиях.

Одновременно с этим злоумышленники запустили грубый перебор паролей для формы логина JIRA (login.jsp). Получив в конце концов административные привилегии в JIRA, они изменили некоторые настройки этой системы и создали новые тикеты с приложенными файлами, одним из которых стал специальный JSP-файл, позволявший просматривать файловую систему и копировать ее содержимое. Другие «приложенные файлы» позволили злоумышленникам предоставить доступ через backdoor к системе с использованием аккаунта, под которым был запущен демон JIRA.

После того, как злоумышленники собрали многочисленные пароли пользователей, им повезло еще раз. Один из паролей совпадал с паролем локального пользователя с полным доступом (через sudo) к серверу brutus.apache.org — таким образом, был получен root-доступ к машине, на которой запущены такие сервисы Apache, как JIRA, Confluence и Bugzilla.

Затем злоумышленники попытались воспользоваться сохраненными некоторыми пользователями в кэше Subversion учетными данными с brutus.apache.org для доступа к главному shell-серверу ASF — minotaur.apache.org (он же people.apache.org), однако там превысить привилегии со взломанными аккаунтами им уже не удалось.

Напоследок стоит отметить, что системные администраторы ASF оперативно отреагировали на ситуацию и приняли все необходимые меры по устранению последствий. Кроме того, они не только подробно расписали действия злоумышленников, но и рассказали о том, что было сделано администраторами для того, чтобы исключить возможность возникновения подобных инцидентов в будущем.

Постоянная ссылка к новости: http://www.nixp.ru/news/10352.html. Дмитрий Шурупов по материалам Blogs.Apache.org.

fb twitter vk
Владислав

«Все, что нас не убивает-делает нас сильнее» Ф.Ницше