Инфраструктуру Apache.org взломали, начав с XSS-атаки

Среда, 14 апреля 2010 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Вчера в блогах apache.org был опубликован подробный отчет о том, как злоумышленникам удалось получить административный доступ на одном из серверов apache.org. Что интересно, все проблемы начались с малого — классической атаки типа XSS («межсайтовый скриптинг»)...Все началось с того, что злоумышленники опубликовали на сайте хостинга Slicehost сообщение с сокращенной через сервис tinyurl ссылкой на систему отслеживания ошибок JIRA, используемую в Apache Software Foundation. В этой ссылке и была «размещена» XSS-атака: после захода по ней аутентифицированными пользователями (среди которых оказались и администраторы JIRA) злоумышленники получали данные об их сессиях.Одновременно с этим злоумышленники запустили грубый перебор паролей для формы логина JIRA (login.jsp). Получив в конце концов административные привилегии в JIRA, они изменили некоторые настройки этой системы и создали новые тикеты с приложенными файлами, одним из которых стал специальный JSP-файл, позволявший просматривать файловую систему и копировать ее содержимое. Другие «приложенные файлы» позволили злоумышленникам предоставить доступ через backdoor к системе с использованием аккаунта, под которым был запущен демон JIRA.После того, как злоумышленники собрали многочисленные пароли пользователей, им повезло еще раз. Один из паролей совпадал с паролем локального пользователя с полным доступом (через sudo) к серверу brutus.apache.org — таким образом, был получен root-доступ к машине, на которой запущены такие сервисы Apache, как JIRA, Confluence и Bugzilla.Затем злоумышленники попытались воспользоваться сохраненными некоторыми пользователями в кэше Subversion учетными данными с brutus.apache.org для доступа к главному shell-серверу ASF — minotaur.apache.org (он же people.apache.org), однако там превысить привилегии со взломанными аккаунтами им уже не удалось.Напоследок стоит отметить, что системные администраторы ASF оперативно отреагировали на ситуацию и приняли все необходимые меры по устранению последствий. Кроме того, они не только подробно расписали действия злоумышленников, но и рассказали о том, что было сделано администраторами для того, чтобы исключить возможность возникновения подобных инцидентов в будущем.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 1098
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003