The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.04.2010 21:46  Инфраструктура проекта Apache подверглась взлому

Организация Apache Software Foundation обнародовала информацию о проведении неизвестными злоумышленниками атаки, связанной с организацией перехвата паролей разработчиков через подмену формы авторизации для сервисов отслеживания ошибок Atlassian JIRA, Confluence и Bugzilla. Всем пользователям вышеуказанных сервисов, осуществлявших работу в системе с 6 по 9 апреля рекомендуется срочно сменить пароль. Так как злоумышленники получили доступ к базам с хэш-функциями паролей рекомендация о смене пароля также адресована пользователям, использующим простые или словарные пароли.

Хронология взлома выглядит следующим образом: 5 апреля злоумышленники создали в сервисе осмысленное уведомление об ошибке "INFRA-259", пожаловавшись на проблемы с открытием некоторых страниц на сайтах Apache и приложили ссылку, демонстрирующую суть проблемы и указывающую на страницу, на которую был добавлен JavaScript-код, осуществляющий перехват сессионных cookie путем XSS-атаки. Несколько разработчиков проекта ничего не подозревая перешли по ссылке и в руках у злоумышленников оказались данные для получения административного доступа в систему трекинга ошибок JIRA. Одновременно атакующие предприняли "brute force" атаку по подбору простых паролей на странице login.jsp.

Получив права администратора сервиса JIRA, злоумышленники отключили систему отправки уведомлений и изменили пути для загрузки дополнений к сообщениям об ошибках. Новый путь был перенаправлен на директорию, допускающую выполнение JSP-файлов. Соответственно, загрузив такой файл под видом приложения к тикету, злоумышленникам удалось выполнить свой код на сервере, что позволило им скопировать содержимое служебных файлов, в числе которых оказались домашние каталоги пользователей и файлы с хэшами паролей. После этого злоумышленники оставили себе лазейку (backdoor) для получения доступа в будущем.

Утром 9 апреля злоумышленники скопировали на сервер JAR-файл, предназначенный для сбора открытых паролей пользователей, вводимых ими через web-форму аутентификации и направили к разработчикам от имени администраторов проекта запрос на смену паролей, указав в письме временный пароль для входа. Многие разработчики, решив, что возникла проблема с сервисом, последовали совету, вошли в систему под предложенным временным паролем и поменяли пароль на свой настоящий пароль, используемый и в других сервисах Apache.

Перехваченные пароли позволили злоумышленникам получить параметры входа на сервер brutus.apache.org, на котором один из перехваченных аккаунтов имел полный доступ к выполнению команды sudo, дающей право запуска команд с root-правами. На данном сервере были размещены сервисы JIRA, Confluence и Bugzilla. Получив root-права, злоумышленники нашли в системе пользователей, у которых были прокешированы в домашней директории параметры аутентификации в репозитории Subversion и пароли для входа на машину people.apache.org (minotaur.apache.org) - основной сервер с shell-аккаунтами разработчиков. К счастью на сервере minotaur.apache.org злоумышленникам не удалось повысить свои привилегии.

Спустя 6 часов после начала атаки, администраторы проекта заподозрили неладное и начали отключать сервисы и переносить их на другие серверы. 10 апреля работа JIRA и Bugzilla была восстановлена. 13 апреля были выпущены патчи для защиты JIRA от XSS-атак. Работа по восстановлению Confluence wiki еще не завершена.

  1. Главная ссылка к новости (https://blogs.apache.org/infra...)
  2. OpenNews: Web-сервер проекта Apache подвергся взлому
  3. OpenNews: Неосторожное обращение с Subversion привело к уязвимости тысяч сайтов
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: apache, security, attack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, zhus (ok), 23:20, 13/04/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +10 +/
    Интересная атака.
     
     
  • 2.3, jxrjmsxovbb (ok), 23:38, 13/04/2010 [^] [ответить]    [к модератору]
  • +6 +/
    Технично :)
    Казалось бы, взрослые дяди...
    Между прочим, очередное подтверждение, что используемая ось не имеет значения. Слабое звено - прокладка между стулом и клавиатурой.
     
     
  • 3.33, Аноним (-), 22:29, 14/04/2010 [^] [ответить]    [к модератору]
  • +/
    Всего делов то - не лазить по незнакомым сайтам с включённым JS, ну или включить его для нужных доменов и можно нибаяцца никого :-D
     
  • 1.4, iZEN (ok), 23:58, 13/04/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Техническая сторона имеет второстепенное значение, поскольку и так в любом ПО есть ошибки, на которых можно хорошо сыграть лишь с помощью людей. Главное и последнее в цепочке — это доверие самих людей к взломщику (к тем ресурсам, которые выглядят как настоящие).

    В своё время Кевин Митник действовал похожим образом, когда люди сами сообщали ему всю или часть доверенной информации, из кусочков которой он складывал мозаику операций по взлому.

     
  • 1.5, serg1224 (ok), 00:09, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    Прям как в кино! Нужно Cпилбергу подкинуть сценарий :-) Классика жанра!
    Очень технично и показательно! На таких жуликов приятно смотреть. Особого уважения они заслуживают, если не причиняют людям реального вреда.
    Апачевские админы тоже молодцы - следят значит! Другие могли бы и не заметить.
     
     
  • 2.10, Michael Shigorin (ok), 01:09, 14/04/2010 [^] [ответить]    [к модератору]  
  • +2 +/
    "Жулики" уже лет пять в той же обойме, что и наркоторговля.  Не знаю насчёт этих конкретных, но что не цветочки собирать вышли и не круто выпендриться, а бабла срубить -- очень сильно подозреваю.
     
  • 1.6, koblin (ok), 00:14, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    прочел как хороший детектив =)
     
  • 1.7, Elektron (ok), 00:18, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ничего нового, социальная инженерия ещё рулит и будет рулить
     
  • 1.8, pro100master (ok), 00:24, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ну и в довершении хочется добавить, что данная статья - xss-атака с целью завладеть хешами паролей пользователей, оставивших здесь комментарии, чтобы потом совершить brute-атаку на опеннет с целью получения пароля администратора, с целью получить права на изменение конфигурации, с целью выполнить скрипт в директории, разрешенной на запись. Чтобы потом на каком-нибудь ресурсе было кому чего писать :)
     
     
  • 2.19, qpq (ok), 01:28, 14/04/2010 [^] [ответить]    [к модератору]  
  • +/
    хехе, не жмите на ссылку, по крайней мере в той же сессии браузера ;)
     
  • 2.20, pavlinux (ok), 01:43, 14/04/2010 [^] [ответить]    [к модератору]  
  • +3 +/
    Прикалываишься... В отличии от Апачевских админоф, у нас всегда включён NoScript и AdBlock
      
     
     
  • 3.23, тигар (ok), 10:40, 14/04/2010 [^] [ответить]    [к модератору]  
  • –1 +/
    можешь ради интереса попытаться поработать с мегапродукцией Atlassian обвешанный этими архиполезными свистелками;-)
     
     
  • 4.38, User294 (ok), 02:57, 20/04/2010 [^] [ответить]    [к модератору]  
  • +/
    >можешь ради интереса попытаться поработать с мегапродукцией

    Вот вы и работайте с мегапродукцией и попутно просирайте ваши пароли, логины, почту в гмыле и что там еще. Нет, если вам нравится бесконтрольное выполнение JS которое в вебприложениях может быть весьма опасно по последствиям - вы в вашем праве прыгать по минному полю без миноискателя ;).

     
  • 3.27, filosofem (ok), 11:55, 14/04/2010 [^] [ответить]    [к модератору]  
  • +2 +/
    39% из "нас" пользуется дырявой проприетарщиной. 25% оперой и почти 14%... барабанная дробь... Internet  Explorer. =)
     
  • 1.9, Viliar (ok), 00:48, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Приятно, что настолько открыто и подробно об этом написали. Молодцы.
     
  • 1.24, Аноним (-), 10:44, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    интересно, а цель какая была? коммит трояна в SVN-дерево апача?
     
  • 1.28, alexanderyt (ok), 11:59, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А сколько всего в мире было взломано сервисов по такой схеме, наверное и не пересчитать.
     
  • 1.29, Блуд (ok), 12:23, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Интересно и хронологично расписано, как будто боевые действия на фронте. Нынче армия нужна лишь для того, чтобы совсем нагло не захватили страну, а также для подавления внутренних конфликтов.
     
  • 1.30, filosofem (ok), 14:29, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Скажите, https://developer.mozilla.org/ тоже кто-то взлому подверг после длительного ДДОСа?
    Или опенсорс пал жертвой собственной популярности? =)
     
  • 1.31, lvlonstradamus (?), 16:32, 14/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    ИМХО, неуязвимых систем не бывает так что всё есть опыт - сын ошибок трудных, и гений - парадоксов друг, как говаривал классик
     
     
  • 2.32, Аноним (-), 17:10, 14/04/2010 [^] [ответить]    [к модератору]  
  • +/
    И случай, Бог изобретатель.
     
  • 1.34, vgray (??), 07:22, 15/04/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Во всех таких сообщениях меня настораживает одно, почему сервис не проверяет с какого ip пришла кука? Если разрешить только с того IP с которого логинились, то проблема перехвата куки перестает нас волновать.

    Много-ли провайдеров которые меняют IP очень часто? у меня вот интерфейс от интернет банкинга вообще через 15 минут неактивности выкидывает.

     
  • 1.35, Аноним (-), 13:00, 15/04/2010 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Хронология взлома выглядит следующим образом 5 апреля злоумышленники создали в... весь текст скрыт [показать]
     
     
  • 2.36, Аноним (-), 15:06, 15/04/2010 [^] [ответить]     [к модератору]  
  • +/
    Там про ссылку вида apache org id script alert script при открытии которо... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor