Támadás érte az Apache projekt szervereit

Titkosítás, biztonság, privát szféra

Az Apache projekt szervereit kezelő Apache Infrastructure Team friss blogbejegyzésében arról számol be, hogy közvetlen, célzott támadás érte az infrastruktúrájukat, pontosabban azt a szervert, amelyen a hibakövető rendszerüket futtatták. Az Apache - egyebek mellett - az Atlassian JIRA megoldását használta erre a célra. A szoftvernek a brutus.apache.org szerver adott otthont, amelyen Ubuntu 8.04 LTS operációs rendszer futott.

A támadásból kifolyólag az Apache projekt által hostolt JIRA, Bugzilla és Confluence felhasználóinak jelszó hash-ei kompromittálódtak.

A támadók a rendszert több módszerrel is támadták. Egyrészt egy XSS támadással a bejelentkezett felhasználók session cookie-ját próbálták ellopni. Mivel a cookie-k ellopására létrehozott, speciálisan összeállított linkekre az adminisztrátorok közül is többen rákattintottak, a JIRA adminisztrátori jogosultsága illetéktelen kezekbe került.

Az XSS mellett brute force módszerrel támadtak a JIRA login.jsp-jére, ahol is több (száz)ezer jelszó kombinációt próbáltak le.

Miután megszerezték a JIRA admin jogait, preparálták a rendszert és jelszóváltoztatásra felszólító leveleket küldtek ki az Infrastructure Team tagjainak. A jelszavakat begyűjtötték. A begyűjtött jelszavak közt volt olyan, amely megegyezett a felhasználó brutus.apache.org-os helyi account-jának jelszavával. Ráadásul az account full sudo joggal rendelkezett. Ezzel a támadók a gépen root szintű jogokhoz jutottak.

A brutus.apache.org-ról támadást hajtottak végre a minotaur.apache.org (a projekt fő shell szervere) ellen. Be tudtak jelentkezni, de ott már nem tudtak magasabb jogosultságszinthez jutni.

A támadás pontos leírása itt.

( Pontscho | 2010. 04. 14., sze – 13:57 )

Szep munka. :)

---
pontscho / fresh!mindworkz

( egeresz | 2010. 04. 14., sze – 14:03 )

nem tamadas erte, hanem feltortek...

( nanofish | 2010. 04. 14., sze – 14:25 )

A legnagyobb szívás az volna, ha svn hozzáférések is kompromittálódtak.

( turul16 v | 2010. 04. 14., sze – 14:36 )

Miert hasznal valaki JIRA -t bugzilla mellett ?

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( Jason v | 2010. 04. 14., sze – 14:45 )

most komolyan, (a microsofton kivul) kinek all erdekeben felnyomni az apache-ot?

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

( sbela | 2010. 04. 14., sze – 14:46 )

Gratula. És további sok sikert.
Ha ez nem viszi előre a linuxos biztonsági megoldásokat akkor semmi.

Ja. A leírtak alapján - ha csak át nem siklottam valami felett - volt egy XSS támadás a Java-ban írt JIRA ellen, aztán volt egy brute force támadás, meg egy rakás social engineering, ami során gyakorlatilag az admin adta ki a root-tal egyenértékű account jelszavát.

--
trey @ gépház

Tény h full idiotizmus, ezt egyáltalán nem vitattam, de egy komolyabb helyen nem kéne sudo-képes júzereket létrehozni -- szerintem. Nem árt védekezni a júzerek esetleges hülyeségei ellen, még ha a helyi atyaúristenről is van szó. Kicsit más tészta ugyanez desktopon, persze...

Ha már nyelvészkedünk, akkor ne spórolj azokkal a nagybetűkkel, meg vesszőkkel sem, és már megérte ma is felkelni...

Amúgy csak úgy kíváncsiságképpen: ha egy banki ügyféltől kicsalják a jelszavát, akkor azzal feltörték a bank rendszerét? Ha brute force módszerrel bejutnak, az is a rendszer feltörésének számít? Nem baszogatásképpen, csak érdekelne a pontos nyelvi kontextus, ha már ennyire nagy problémába ütköztél _másokkal_

FYI http://hu.wikipedia.org/wiki/Nyelvtan
Az "irodalom bugfix" a náciknak sem sikerült, pedig próbálkoztak vele keményen
De megpróbálhatod átlátni, hogy mások problémásnak vélt megfogalmazásai miatt ne engem baszogass, bár egy efféle komplexebb összefüggést felfedezni néha nehéz.

( xobor | 2010. 04. 14., sze – 15:20 )

Hamarost jon az announcement, hogy atkeresztelik magukat ipi-apache-ra
_________________________
Linux for human lemmings

( saabi v | 2010. 04. 14., sze – 15:22 )

Érdekes az az ember, aki - bár a gépen full sudo joggal rendelkezik, tehát nem egyszerű felhasználó - e-mail-ben küldi el egy jelszó váltásra felszólító levélre válaszolva az új/régi jelszavát.

Ave, Saabi.

Ezt hol olvastad? Szerintük nem így történt.

"By the morning of April 9th, the attackers had installed a JAR file that would collect all passwords on login and save them. They then sent password reset mails from JIRA to members of the Apache Infrastructure team. These team members, thinking that JIRA had encountered an innocent bug, logged in using the temporary password sent in the mail, then changed the passwords on their accounts back to their usual passwords."

( pwm | 2010. 04. 14., sze – 18:36 )

"On April 6th, one of these methods was successful."

Az XSS az persze szopo, de hogy a login.jsp miert nem riadozott a brute force-ra? Mehetne az Atlassian-nak egy feature req...

( Lacyc3 v | 2010. 04. 14., sze – 18:36 )

Megint kibukott, hogy minden rendszer leggyengébb láncszeme az ember.

( Esc | 2010. 04. 15., cs – 07:48 )

A Google hír:
"Ez volt az utolsó utáni szeg a java koporsójába. Törölje mindenki a szerveréről is a java-t."
:-)

( Replaced | 2010. 04. 15., cs – 09:28 )

umm, miert volt egyaltalan _jelszos_ login a szerverre?

--
NetBSD - Simplicity is prerequisite for reliability

"ha jol van beallitva az sshd es a sudo, akkor az ssh kulcsra ES a jelszora is szukseg van. Es mindkettot nehezebb megszerezni mint csak az egyiket."

Abban a scenarioban, amit Hunger emlitett? Miert lenne nehezebb?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!