HARD CORE SECURITY LAB

Fundacja Apache przedstawiła dziś na swym blogu szczegółowe sprawozdanie z serii poważnych incydentów, jakie miały miejsce w ciągu kilku ostatnich dni. W wyniku całej serii ukierunkowanych ataków, włamywaczom udało się uzyskać administracyjny dostęp do szeregu usług oraz serwerów należących do Apache Software Foundation. Doszło również do wycieku baz zawierających skróty haseł dostępowych do serwisów JIRA, Bugzilla oraz Confluence.

Wszystko zaczęło się 5. kwietnia od umieszczenia w systemie JIRA (komercyjne rozwiązanie do śledzenia zgłoszeń oraz zarządzania procesami) następującego zgłoszenia:

ive got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXXX [obscured]

Adres URL, do którego kierował serwis Tinyurl, wskazywał z powrotem na usługę JIRA, zawierał jednak kod zdolny do wykonania ataku typu XSS (Cross-site scripting) wykradającego pliki cookies użytkowników zalogowanych do serwisu. W taki oto sposób włamywacze zdołali przejąć kilka sesji administracyjnych JIRA.

W wyniku prowadzonych jednocześnie ataków typu brute force, crackerom udało się również zdobyć poświadczenia jednego z administratorów systemu JIRA. Dostęp administracyjny oraz odpowiednio spreparowane pliki JSP, pozwoliły na dostęp do katalogów domowych poszczególnych użytkowników oraz utworzenie furtki (backdoor) pozwalającej na późniejszy dostęp do serwera. Instalacja odpowiedniego pliku JAR pozwoliła natomiast intruzom na przechwytywanie wszystkich haseł w trakcie logowania się użytkowników.

Jedno z przechwyconych w ten sposób haseł okazało się być dla crackerów przepustką do serwera brutus.apache.org na pełnych prawach administracyjnych. Tutaj możliwe okazało się z kolei uzyskanie danych pozwalających na dostęp do serwera minotaur.apache.org (aka people.apache.org). Na tym etapie udało się wreszcie zauważyć obecność crackerów, a firma Atlassian została poinformowana o nieznanej do tej pory podatności na atak typu XSS obecnej w jej oprogramowaniu JIRA. Przypomnijmy również, że firma Atlassian upubliczniła dziś informacje na temat własnych incydentów bezpieczeństwa.

Krytyczne usługi zostały w końcu przez ASF w trybie natychmiastowym przeniesione na inny serwer (thor.apache.org). 10. kwietnia działanie usług JIRA oraz Bugzilla zostało w pełni przywrócone. Firma Atlassian opublikowała dziś natomiast odpowiednią poprawkę dla oprogramowania JIRA (JRA-20994 oraz JRA-20995). Działania systemu Confluence (narzędzie do pracy grupowej w przedsiębiorstwie, bazujące na koncepcji Wiki) nie udało się nadal przywrócić.

Po niedawnych cyberatakach wymierzonych w Google, Adobe oraz wiele innych wiodących firm z branży informatycznej, jest to więc kolejny w ostatnim czasie przykład ukierunkowanego ataku zakrojonego na bardzo dużą skalę. Jest to niestety również kolejny dowód na to, że w chwili obecnej nawet największe i najnowocześniejsze organizacje nie mają pomysłu na skuteczną obronę przed tego typu zagrożeniami...

Przede wszystkim, do zainicjowania ataku, wykorzystano nieznaną do tej pory lukę, co oczywiście znacznie utrudniło obronę przed właściwym atakiem. Jednak, jak przyznaje sama fundacja, przed większością kolejnych etapów ataku można się było skutecznie zabezpieczyć.

Przede wszystkim, wymierzony w jeden z serwerów atak typu brute force nie został w ogóle zauważony. Wobec tego na serwerze tym nie monitorowano w ogóle ilości prób nieudanego logowania (co jest możliwe przykładowo za pomocą programu Fail2ban). Poza tym, dwukrotnie zdarzyło się tak, że uzyskanie dostępu do konkretnego serwera otwierało jednocześnie drogę do kolejnych maszyn. ASF twierdzi, że odpowiednie wnioski z całego zdarzenia zostały już wyciągnięte, a wszystkie wykorzystane przez crackerów luki zostaną zamknięte. Z pewnością każdy z nas może się czegoś nauczyć z niedawnych doświadczeń Apache Software Foundation, warto więc dokładnie przestudiować szczegółowy opis wydarzeń oraz środki zaradcze zaproponowane przez fundację.