Apache.org invadido!
No dia 09/04/2010, a
Fundação Apache sofreu um ataque direcionado no servidor brutus.apache.org, utilizado para hospedar o software de issue-tracking Atlassian JIRA (sendo executado sobre um Ubuntu
Linux 8.04 LTS).
O ataque, originado de um dos servidores da empresa Slicehost, utilizou uma falha de XSS no JIRA. Um ticket foi aberto no sistema com o seguinte conteúdo:
ive got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXXX (a URL foi modificada no anúncio)
Como você provavelmente já sabe, o TinyURL é um serviço de "encurtamento" de URLs. Neste caso, a URL encurtada redirecionava quem clicasse nela para uma URL do JIRA que continha um XSS desenvolvido para roubar o cookie de sessão dos usuários logados. Quando os desenvolvedores clicaram na URL para analisar o suposto bug, tiveram sua sessão roubada (com direitos administrativos).
Após ganhar o acesso a uma conta administrativa, os atacantes utilizaram este "poder" para desabilitar as notificações para um projeto e também para mudar o path utilizado para o upload de arquivos. O path escolhido executava arquivos JSP e o JIRA tinha permissões de escrita nele. Assim, criaram vários novos tickets e fizeram vários uploads.
Um desses uploads era um JSP utilizado para navegar e copiar todo o filesystem do servidor. Outro JSP criava um backdoor no servidor e permitia acesso ao sistema utilizando a conta do JIRA.
Na manhã do dia 9 de abril, os atacantes instalaram um arquivo JAR que logins e senhas e enviaram e-mails de reset de senha para todos os usuários do JIRA hospedado no servidor da Apache. Uma das senhas utilizadas no JIRA por um dos desenvolvedores era a mesma senha utilizada em um usuário local do servidor brutus.apache.org (que hospeda o JIRA). Tal conta possuía acesso root total através do sudo. Assim, os atacantes conseguiram acesso root ao servidor que hospeda o JIRA, Confluence (software de wiki desenvolvido também pela Atlassian) e o Bugzilla.
Além disso, alguns usuários tinham sua senha do Subversion guardada em cache no servidor, o que permitiu que eles ganhassem acesso ao servidor minotaur.apache.org, porém não conseguiram escalar os privilégios para a conta root.
Após tudo isso, os atacantes começaram a parar serviços oferecidos pelas máquinas atacadas.
O time de infraestrutura da Apache avisou a Atlassian sobre a falha no JIRA e também notificou a Slicehost sobre o comprometimento de um de seus servidores, porém nada foi feito após 2 dias. No dia 13 de abril, todos os serviços foram normalizados (em outra máquina).
Fonte: https://blogs.apache.org/infra/entry/apache_org_04_09_2010
[1] Comentário enviado por
irado em 15/04/2010 - 14:54h:
"Quando os desenvolvedores clicaram na URL para analisar o suposto bug, tiveram sua sessão roubada (com direitos administrativos). "
clickar em qualquer link sendo root-like é ...hmm.. no minimo, temerário. Tem quem goste de desafios, claro.
[2] Comentário enviado por
annakamilla em 16/04/2010 - 23:44h:
não é só sendo root like irado, infelizmente esse encurtador de url permite passar pelo sistema de segurança do linux certificados crackeados ou vencidos, ja utilizei muito ele para divulgar o annakubuntu.host.sk no msn que por sinal nem terminei.
e cada vez que eu mandava retornava uma msg de erro pelo amsn.
então utilizei o encurtador de url que o proprio amsn permitiu.
[3] Comentário enviado por
VonNaturAustreVe em 18/04/2010 - 18:53h:
Efeito twitter, e o grande aumento no uso de ferramentas que comprimem URLs, ataques como esse tendem a se tornarem cada vez mais comuns.
[]'s
[4] Comentário enviado por
guimfonseca em 26/04/2010 - 13:43h:
também acho.
Boa notícia: Chrome irá colocar o Flash no sandbox para maior segurança
Versão para impressora
Indicar para um amigo
Enviar notícia