Neznámému útočníkovi se skrze XSS útok kombinovaný s přesměrováním z TinyURL podařil cílený útok na servery Apache Foundation. Podařilo se tak napadnout infrastrukturu Apache.org (především BugZillu), která běží na Ubuntu 8.04 LTS a byla získána databáze hesel. Ta je sice jednosměrně hashována pomocí SHA-512, přesto ale hrozí riziko úspěšného slovníkového útoku na slabší hesla. Navíc byla několik dní používána login page, která přímo hesla pro útočníky zaznamenávala.
(Zdroj: Slashdot)
Vycházel jsem z toho, že celý útok byl poměrně komplexní; pokud jsem správně pochopil, (záměrně zkracuji) útočníci získali díky kombinaci XSS a malého zmatení adminů přístup do administrace JIRA, nahráli pár upravených skriptů → získali pár přístupových údajů; odtud se povedlo získat přístup k rootu serveru brutus.apache.org (přes Sudo), kde z cache SVN zjistili přihlašovací údaje k minotaur.apache.org. Od dalšího páchání zla je zastavila nedostatečná oprávnění. Protože jeden z infikovaných skriptů sloužil ke kopírování souborů, říkal jsem si, kdo by si chtěl něco dokazovat takovým útokem?
Ale pravda, nemusel to být pokus o poškození, vzhledem k tomu, že útočník(ci) nakonec zaútočil(i) i na stránky výrobce JIRA :) Ovšem za jakým účelem se útok vykonal, se asi těžko dozvíme.
Co se týká atraktivity cílů, tak je Apache Foundation jedním z nejzajímavějších cílů. Vzhledem k tomu, jaká část internetového provozu a dalších aplikací běží na komponentách Apache (nejen samotný Apache server, ale i Tomcat a hromada projektů z Jakarty), napadení a kompromitace ditribuovaných balíků by měly obrovské důsledky, pravděpodobně rozsáhlejší, než například remote exploity Linuxového jádra nebo Windows Server.
Fujtajbl, tohle by byla vážně hnusná věc.
hnusna vec to sice bola, ale nic moc to nedokazuje, aspon pre mna nie. pretoze apache foundation ma sice urcite know how nato aby spravne vedeli nakonfigurovat apache :D… ze boli hacknuty ale este neznamena ze soft je menej cenny – ak to chceli utocnici naznacit.
apache foundation urcite nema dost penazi a casu nato, aby preventivne implementovali protokoly na ochranu pred vsetkymi moznymi eventualitamy. a tym nemyslim zabezpecovanie apacheu proti cross-scriptingu, alebo conf servera ale vseobecne bezpecnostne checky toho kto ma na co v organizacii pravomoc a kam az siaha.
obavam sa ze u vacsiny open-source projektov je to podobne, pravdepodne hlavne pod dojmom toho ze nemaju „prirodzeneho nepriatela“. open-source projekty zatial nemali dovod sa moc obavat o svoju bezpecnost… a preto to do urcitej miery mozno v ramci organizacie zatial nebolo prioritou,
myslim ze by sa nemali zbytocne minat peniaze a energia na zebezpecenie veci, ktore pracuju pre dobro ostatnych. ak to bude treba zacat robit, vela projektov tym utrpi. ten kto ich umyselne nici (uvidime aky bol ciel v tomto pripade) si vysluzi len moj hnev. A dufam ze Vas tiez!
Promiň, ale to co jsi napsal, je hloupost. Každý se musí o svoji bezpečnost obávat. Pokud to nebudeš řešit, dopadne to jako u Windows 95, který byly děravý jak řešeto a MS se z toho líže dodnes.
Je třeba na bezpečnost myslet od začátku. Pokud si projekt nedokáže zajistit bezpečnost svojí infrastruktury, jak mu potom má uživatel věřit?
Klucí se aspoň poučili a příště už se nachytat nenechají.
