Server vývojářů Apache podlehl útoku hackerů

15. 4. 2010

Sdílet

Hackeři si mohou udělat další zásek na svých pracovních stolech, tentokrát jim podlehl server využívaný organizací Apache Software, která stojí za úspěšným webovým serverem Apache.

Napadá vás otázka, co se v krajním případě mohlo stát? Pokud by se útočníkům podařilo získat na všemi servery plnou kontrolu, mohli pozměnit zdrojové kódy a udělat si do systému Apache vlastní zadní vrátka. V tom případě by se do velkého ohrožení dostali všichni nově stahující. Další věci je, odhalení útoku. Dostatečně dlouho maskovaný útok by mohl mít za následek nekontrolované rozšíření napadeného zdrojového kódu a tím i snadné napadení všech serverů s tímto zdrojovým kódem. Podle Philipa Gollucci, vice prezidenta Apache však situace tak kritická nebyla a žádný ze zdrojových kódů nebyl nikterak zasažen.

Přesto zaznamenali útočníci úspěch. Podařilo se jim získat přístup k systému hlášení chyb (bug tracking) a účty na serveru People.apache.org. Jak útočníci postupovali? Nejdříve se jim pomocí techniky cross-site scripting společně s uhádnutím hesla (pravděpodobně metodou brutal force) podařilo napadnout software Atlassian JIRA, jehož služby vývojáři Apache využívají. Do něj hackeři nainstalovali škodlivý kód pro zachycení hesel a tím nakonec získali plnou kontrolu nad jedním ze serverů. Na stejném stroji navíc běžely i další služby, Confluence wiki a Bugzilla, a útočníci dostali přístup i k nim.

Z napadeného stroje se jim podařilo získat troje přihlašovací údaje, čímž získali další přistup, tentokrát na server minotaur.apache.org, na kterém běží služba People.apache.org. Ukradené účty však měly nízká oprávnění a moc škody se tak napáchat nepodařilo. Ani data ze systému pro hlášení chyb (bugtracking) nejsou podle slov Gollucciho citlivá a Apache prý neukládá informace o bezpečnostních chybách na těchto serverech. Celý útok nakonec trval tři dny, 6. dubna se útočníci nabourali do Apache JIRA serveru a až 9. dubna průnik do systému zaznamenali administrátoři.

Ve stejnou dobu se útočnici zaměřili také na servery společnosti Atlassian a získali přístup ke jménům a heslům zákazníků. Několik zaměstnanců Atlassian patří mezi vývojáře Apache, tudíž mohli útočníci využít hesla získaná z útoků na servery Apache k útokům na Atlassian, případně naopak. Zaměstnanci by museli využívat stejné heslo jak k serverům Apache, tak Atlassian (a to rozhodně není nemožné). Jak moc velkou roli tento fakt v napadení sehrál se zatím neví. Útočníkům ale velmi pomohlo, že Atlassian ukládal zákaznická jména a hesla v databázi jako prostý text. A to je v dnešní době opravdu hrubá chyba.