Megint feltörtek néhány Apache-ot

Az Apache infrastruktúrájáért felelős alelnöke, Philip Gollucci elismerte, hogy az elmúlt napokban meglehetősen komoly problémával kellett szembenézniük, ugyanis az internetes támadók ismét kiszemelték maguknak az Apache egyes kiszolgálóit. A legutóbbi, széles körben ismertté vált, hasonló jellegű incidensre tavaly augusztusban került sor, amikor a hekkerek a Minotaur szerver ellen indítottak egy jelentősebb támadást, és arra sikeresen fel is telepítették a saját kódjaikat.

Az Apache mostani esete során az Atlassian JIRA, a Confluence és a Bugzilla is érintett. Ezért az Apache munkatársai az egyik jelentésükben hangsúlyozták, hogy azoknak, akik az említett szolgáltatásokhoz rendelkeztek hozzáféréssel, vélhetőleg rossz kezekbe került a hash-elt jelszava. (A JIRA és a Confluence SHA-512, míg a Bugzilla SHA-256 alapú hash-eléssel működik.)

Philip Gollucci elmondta, hogy a támadás április 6-án kezdődött, de csak április 9-én vették észre a rendszergazdák, hogy valami nincs rendben. Addigra viszont a hekkerek már igencsak beleásták magukat a rendszer rejtelmeibe. A támadás nem egyetlen módszer révén valósult meg, hiszen a tettesek több technikát is bevetettek. Ezek között volt egy cross-site scripting alapú károkozásra lehetőséget adó sérülékenység kihasználása valamint különféle jelszótörő módszerek is. Miután a hekkereknek sikerült behatolniuk a JIRA rendszerbe, azután JAR és JSP fájlokat töltöttek fel, amelyek legfontosabb feladata a lehető legtöbb jelszó összegyűjtése volt.

Gollucci elismerte, hogy a hekkerek három olyan jelszóhoz is hozzájutottak, amely a Minotaur.apache.org szerverhez adott volna hozzáférést, azonban ezekhez a felhasználói fiókokhoz olyan kevés jogosultság tartozott, hogy a behatolók nem tudták azokat felhasználni a saját céljaikra. Gollucci ugyanakkor azt is hangsúlyozta, hogy a forráskódok a támadások alatt nem sérültek, és a hibajegyeket kezelő rendszerből sem kerültek ki érzékeny biztonsági információk, például a megszüntetés alatt lévő sérülékenységekről.
Nemcsak az Apache volt a célpont
Az Apache kiszolgálói elleni támadások megkezdését követően az Atlassian saját szervereit is meghekkelték, amelynek során felhasználónevek és jelszavak szivárogtak ki. Az Atlassian munkatársai között olyan fejlesztők is vannak, akik az Apache-nak is dolgoznak, így elképzelhető, hogy a hekkerek az Apache valamely szerveréről szerzett információk alapján tudtak bejutni az Atlassian kiszolgálójára. Chris Wysopal, a Veracode műszaki igazgatója szerint ez akkor fordulhatott elő, ha valamely fejlesztő mindkét szervezet esetében egyforma jelszavakat használt. Ebből az is következik, hogy jelenleg még az sem biztos, hogy az Apache vagy az Atlassian volt a végső célpont.

Az Atlassian elleni incidens további problémákat is a felszínre hozott, ugyanis kiderült, hogy a kiszivárgott belépési adatok egy titkosítatlan állományban voltak. Mike Cannon-Brookes, a cég elnök-vezérigazgatója szerint azon ügyfelek adatai sérülhettek, akik 2008 júliusa előtt fizettek elő a cég valamely szolgáltatásra. "Nagy hibát követtünk el, és nagyon sajnáljuk a történteket." - ismerte el a baklövést Cannon-Brookes.

A hír a Computerworld biztonság rovatában jelent meg.