Инфраструктуру Apache.org взломали, начав с XSS-атаки

Вчера в блогах apache.org был опубликован подробный отчет о том, как злоумышленникам удалось получить административный доступ на одном из серверов apache.org. Что интересно, все проблемы начались с малого — классической атаки типа XSS («межсайтовый скриптинг»)...Все началось с того, что злоумышленники опубликовали на сайте хостинга Slicehost сообщение с сокращенной через сервис tinyurl ссылкой на систему отслеживания ошибок JIRA, используемую в Apache Software Foundation. В этой ссылке и была «размещена» XSS-атака: после захода по ней аутентифицированными пользователями (среди которых оказались и администраторы JIRA) злоумышленники получали данные об их сессиях.Одновременно с этим злоумышленники запустили грубый перебор паролей для формы логина JIRA (login.jsp). Получив в конце концов административные привилегии в JIRA, они изменили некоторые настройки этой системы и создали новые тикеты с приложенными файлами, одним из которых стал специальный JSP-файл, позволявший просматривать файловую систему и копировать ее содержимое. Другие «приложенные файлы» позволили злоумышленникам предоставить доступ через backdoor к системе с использованием аккаунта, под которым был запущен демон JIRA.После того, как злоумышленники собрали многочисленные пароли пользователей, им повезло еще раз. Один из паролей совпадал с паролем локального пользователя с полным доступом (через sudo) к серверу brutus.apache.org — таким образом, был получен root-доступ к машине, на которой запущены такие сервисы Apache, как JIRA, Confluence и Bugzilla.Затем злоумышленники попытались воспользоваться сохраненными некоторыми пользователями в кэше Subversion учетными данными с brutus.apache.org для доступа к главному shell-серверу ASF — minotaur.apache.org (он же people.apache.org), однако там превысить привилегии со взломанными аккаунтами им уже не удалось.Напоследок стоит отметить, что системные администраторы ASF оперативно отреагировали на ситуацию и приняли все необходимые меры по устранению последствий. Кроме того, они не только подробно расписали действия злоумышленников, но и рассказали о том, что было сделано администраторами для того, чтобы исключить возможность возникновения подобных инцидентов в будущем.