image

Apache.org gehackt via gerichte XSS-aanval

woensdag 14 april 2010, 11:33 door Redactie, 13 reacties

Aanvallers hebben via een gerichte Cross Site Scripting (XSS) aanval de infrastructuur van Apache.org gehackt en wachtwoorden van gebruikers gestolen. Het gaat om de gehashte wachtwoorden van gebruikers van JIRA, Bugzilla en Confluence. Apache is de meest gebruikte webserver op het internet. De aanvallers rapporteerden op 5 april, via een gehackte SliceHost server, een nieuw probleem met het nummer INFRA-2591. In het bericht stond dat de gebruiker een foutmelding kreeg tijdens het browsen van sommige JIRA projecten. Daarbij stond een Tinyurl vermeld.

Deze specifieke URL verwees naar JIRA, met een speciale URL waarin een XSS-aanval zat verstopt. De aanvallers maakten zo het sessie cookie van de ingelogde JIRA-gebruiker buit. Verschillende administrators van het Apache infrastructuur team klikten op de link van de aanvallers, die vervolgens JIRA administratorrechten kregen. Op het zelfde moment van de XSS-aanval, lanceerden de aanvallers een brute-force aanval tegen de JIRA login.jsp, waarbij er honderdduizenden wachtwoord combinaties werden geprobeerd.

Backdoor
Op 6 april was één van de aanvallen succesvol. De aanvallers installeerden vervolgens een backdoor op het systeem waar het JIRA account op draaide. Drie dagen later installeerden de aanvallers een JAR-bestand dat alle wachtwoorden verzamelde. Ze stuurden daarna wachtwoord reset e-mails naar JIRA-leden van het Apache infrastructuur team. De teamleden dachten dat JIRA met een onschuldige bug had te maken en logden via het in de e-mail vermeldde wachtwoord in. Vervolgens wijzigden ze het wachtwoord van hun account met hun oorspronkelijke wachtwoord.

Eén van deze wachtwoorden was hetzelfde wachtwoord van een lokale gebruiker op brutus.apache.org en deze gebruiker had ook volledige sudo rechten. Zodoende kregen de aanvallers volledige roottoegang tot de machine. Deze machine host de Apache installaties van JIRA, Confluence en Bugzilla. Op brutus.apache.org ontdekten de aanvallers de gecachte Subversion authenticatie inloggegevens, die ze gebruikten om op minotaur.apache.org in te loggen, de primaire shell server. Het lukte de aanvallers niet om op minotaur hun rechten te verhogen.

Waarschuwing
Zes uur naar het resetten van de wachtwoorden, ontdekte het Apache team dat de aanvallers bepaalde services uitschakelden. Apache waarschuwde Atlassian (ontwikkelaar van JIRA) en SliceHost. Atlassian reageerde snel, maar SliceHost deed niets en twee dagen later werd dezelfde gehackte virtuele host gebruikt voor het aanvallen van Atlassian. Aangezien de aanvallers verschillende uren toegang tot brutus.apache.org hadden, was het besturingssysteem niet langer te vertrouwen, aldus het Apache team. Op 13 april patchte Atlassian JIRA.

Volgens Apache werkte het gebruik van one-time wachtwoorden. "Een echte levensredder." Service isolation werkte gedeeltelijk, zo staat in de analyse van de aanval. Wat niet werkte was de JIRA installatie. De JIRA daemons draaien als de gebruiker die JIRA installeerde. Daarnaast had men voor JIRA en brutus.apache.org verschillende wachtwoorden moeten gebruiken. Ook het inconsistente gebruik van one-time wachtwoorden deed Apache de das om. Op alle andere machines hanteerde men deze maatregel, maar niet op brutus. Verder had men de SSH wachtwoorden niet moeten laten inloggen over het internet.

Wachtwoorden
Wat betreft de wachtwoorden van gebruikers lopen vooral accounts van JIRA en Confluence risico. Die wachtwoorden gebruiken een SHA-512 hash, maar zonder salt. Eenvoudige wachtwoorden zouden daardoor makkelijk via een woordenboek-aanval te zijn achterhalen. Deze gebruikers krijgen het advies hun wachtwoord te wijzigen. Bugzilla gebruikt SHA-256 hashes, maar met salt. Daardoor is het risico voor de meeste gebruikers klein, aldus Apache. Toch doen ook deze gebruikers er verstandig aan hun wachtwoord te wijzigen.

"We hopen dat onze bekendmaking zo open mogelijk is geweest, zodat anderen van onze fouten kunnen leren", zo laat Apache weten. Vorig jaar augustus werd ook al een server van Apache gehackt.

Reacties (13)
14-04-2010, 11:48 door Anoniem
Wow, impressive hack

Iemand met veeel tijd en vastberadenheid komt overal binnen zie je wel
14-04-2010, 12:40 door Anoniem
Beetje jammer dat apache gepwnd is door een XSS maar never the less hebben ze zoals we bij de vorige aanval al gezien hadden goed gereageerd. Daarnaast is het natuurlijk ook mooi dat ze er zo open over zijn en alle details vrijgeven plus de dingen de fout waren en daarom verbeterd moeten worden. Dat zouden meer bedrijven eens moeten doen.
14-04-2010, 13:13 door Anoniem
Aan de ene kant vind ik het best wel dom dat "verschillende administrators van apache" op een tinyurl clicken, aan de andere kant moet ik helaas ook toegeven dat ik er waarschijnlijk niet slimmer mee omgegaan was ;)

Wel een goede les dat url shortener websites vanuit security oogpunt erg gevaarlijk zijn.
14-04-2010, 13:43 door Anoniem
Op 6 april was één van de aanvallen succesvol.

Het is dus niet duidelijk of het via XSS of via de bruteforce attack is gelukt?
14-04-2010, 14:02 door Anoniem
Het is dom om een tinyurl aan te klikken en hier is al behoorlijk vaak voor gewaarschuwd. Kennelijk wint de nieuwsgierigheid en naïviteit het weer. Persoonlijk vind ik dat je "het niet klikken van een tinyurl" bij de bedrijfspolicy moet horen.
14-04-2010, 15:01 door Anoniem
<conspiracy mode on> en nu nog een link naar China... </conspiracy mode>
14-04-2010, 15:16 door [Account Verwijderd]
[Verwijderd]
14-04-2010, 15:50 door Anoniem
Door rookie: Dit is een mooi moment om over te stappen op: http://www.lighttpd.net/
En dan ga je zeker ook lynx gebruiken?
14-04-2010, 15:51 door Anoniem
Door Anoniem: Beetje jammer dat apache gepwnd is door een XSS maar never the less hebben ze zoals we bij de vorige aanval al gezien hadden goed gereageerd. Daarnaast is het natuurlijk ook mooi dat ze er zo open over zijn en alle details vrijgeven plus de dingen de fout waren en daarom verbeterd moeten worden. Dat zouden meer bedrijven eens moeten doen.
Apache is een soort community, geen bedrijf.
14-04-2010, 16:39 door [Account Verwijderd]
[Verwijderd]
14-04-2010, 19:36 door Anoniem

Het is dom om een tinyurl aan te klikken en hier is al behoorlijk vaak voor gewaarschuwd. Kennelijk wint de nieuwsgierigheid en naïviteit het weer. Persoonlijk vind ik dat je "het niet klikken van een tinyurl" bij de bedrijfspolicy moet horen.

Zo'n policy is weinig zinvol. De attacker had immers ook een onschuldige website kunnen construeren en daar een image naar de kwetsbare URL kunnen opnemen.
14-04-2010, 19:58 door [Account Verwijderd]
[Verwijderd]
15-04-2010, 10:02 door Anoniem
Bij Tinyurl kan je de preview-modus aanzetten.
http://tinyurl.com/preview.php

Dit heb ik dan ook zeker gedaan, niet vanwege virussen of iets. Nee... omdat iemand via de MSN een keer plaatjes van kakkerlakken had verstuurd! IK HAAT INSECTEN!!


Wel indrukwekkende hack, via een XSS het hele systeem zien te hacken.
Dat geeft maar weer is aan dat een klein iets grote gevolgen kan hebben.

Zelf doe ik Apache Webserver, wel altijd met PGP controleren op integriteit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.