Fundacja Apache przedstawiła dziś na swym blogu szczegółowe sprawozdanie z serii poważnych incydentów, jakie miały miejsce w ciągu kilku ostatnich dni. W wyniku całej serii ukierunkowanych ataków, włamywaczom udało się uzyskać administracyjny dostęp do szeregu usług oraz serwerów należących do Apache Software Foundation. Doszło również do wycieku baz zawierających skróty haseł dostępowych do serwisów JIRA, Bugzilla oraz Confluence.

Wszystko zaczęło się 5. kwietnia od umieszczenia w systemie JIRA (komercyjne rozwiązanie do śledzenia zgłoszeń oraz zarządzania procesami) następującego zgłoszenia:

ive got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXXX

Adres URL, do którego kierował serwis Tinyurl, wskazywał z powrotem na usługę JIRA, zawierał jednak kod zdolny do wykonania ataku typu XSS (Cross-site scripting) wykradającego pliki cookies użytkowników zalogowanych do serwisu. W taki oto sposób włamywacze zdołali przejąć kilka sesji administracyjnych JIRA.

W wyniku prowadzonych jednocześnie ataków typu brute force, crackerom udało się również zdobyć poświadczenia jednego z administratorów systemu JIRA. Dostęp administracyjny oraz odpowiednio spreparowane pliki JSP, pozwoliły na dostęp do katalogów domowych poszczególnych użytkowników oraz utworzenie furtki (backdoor) pozwalającej na późniejszy dostęp do serwera. Instalacja odpowiedniego pliku JAR pozwoliła natomiast intruzom na przechwytywanie wszystkich haseł w trakcie logowania się użytkowników.

Jedno z przechwyconych w ten sposób haseł okazało się być dla crackerów przepustką do serwera brutus.apache.org na pełnych prawach administracyjnych. Tutaj możliwe okazało się z kolei uzyskanie danych pozwalających na dostęp do serwera minotaur.apache.org (aka people.apache.org). Na tym etapie udało się wreszcie zauważyć obecność crackerów, a firma Atlassian została poinformowana o nieznanej do tej pory podatności na atak typu XSS, obecnej w jej oprogramowaniu JIRA. Warto podkreślić, że firma Atlassian upubliczniła dziś również informacje na temat własnych incydentów bezpieczeństwa.

Krytyczne usługi zostały w końcu przez ASF w trybie natychmiastowym przeniesione na inny serwer (thor.apache.org). 10. kwietnia działanie usług JIRA oraz Bugzilla zostało w pełni przywrócone. Firma Atlassian opublikowała dziś natomiast odpowiednią poprawkę dla oprogramowania JIRA (JRA-20994 oraz JRA-20995). Działania systemu Confluence (narzędzie do pracy grupowej w przedsiębiorstwie, bazujące na koncepcji Wiki) nie udało się nadal przywrócić.

Po niedawnych cyberatakach wymierzonych w Google, Adobe oraz wiele innych wiodących firm z branży informatycznej, jest to więc kolejny w ostatnim czasie przykład ukierunkowanego ataku zakrojonego na bardzo dużą skalę. Jest to niestety również kolejny dowód na to, że w chwili obecnej nawet największe i najnowocześniejsze organizacje nie mają pomysłu na skuteczną obronę przed tego typu zagrożeniami…