Server vývojářů Apache podlehl útoku hackerů

Napadá vás otázka, co se v krajním případě mohlo stát? Pokud by se útočníkům podařilo získat na všemi servery plnou kontrolu, mohli pozměnit zdrojové kódy a udělat si do systému Apache vlastní zadní vrátka. V tom případě by se do velkého ohrožení dostali všichni nově stahující. Další věci je, odhalení útoku. Dostatečně dlouho maskovaný útok by mohl mít za následek nekontrolované rozšíření napadeného zdrojového kódu a tím i snadné napadení všech serverů s tímto zdrojovým kódem. Podle Philipa Gollucci, vice prezidenta Apache však situace tak kritická nebyla a žádný ze zdrojových kódů nebyl nikterak zasažen.

Přesto zaznamenali útočníci úspěch. Podařilo se jim získat přístup k systému hlášení chyb (bug tracking) a účty na serveru People.apache.org. Jak útočníci postupovali? Nejdříve se jim pomocí techniky cross-site scripting společně s uhádnutím hesla (pravděpodobně metodou brutal force) podařilo napadnout software Atlassian JIRA, jehož služby vývojáři Apache využívají. Do něj hackeři nainstalovali škodlivý kód pro zachycení hesel a tím nakonec získali plnou kontrolu nad jedním ze serverů. Na stejném stroji navíc běžely i další služby, Confluence wiki a Bugzilla, a útočníci dostali přístup i k nim.

Z napadeného stroje se jim podařilo získat troje přihlašovací údaje, čímž získali další přistup, tentokrát na server minotaur.apache.org, na kterém běží služba People.apache.org. Ukradené účty však měly nízká oprávnění a moc škody se tak napáchat nepodařilo. Ani data ze systému pro hlášení chyb (bugtracking) nejsou podle slov Gollucciho citlivá a Apache prý neukládá informace o bezpečnostních chybách na těchto serverech. Celý útok nakonec trval tři dny, 6. dubna se útočníci nabourali do Apache JIRA serveru a až 9. dubna průnik do systému zaznamenali administrátoři.

Ve stejnou dobu se útočnici zaměřili také na servery společnosti Atlassian a získali přístup ke jménům a heslům zákazníků. Několik zaměstnanců Atlassian patří mezi vývojáře Apache, tudíž mohli útočníci využít hesla získaná z útoků na servery Apache k útokům na Atlassian, případně naopak. Zaměstnanci by museli využívat stejné heslo jak k serverům Apache, tak Atlassian (a to rozhodně není nemožné). Jak moc velkou roli tento fakt v napadení sehrál se zatím neví. Útočníkům ale velmi pomohlo, že Atlassian ukládal zákaznická jména a hesla v databázi jako prostý text. A to je v dnešní době opravdu hrubá chyba.