Ads 468x60px

jueves, 15 de abril de 2010

Crónica del ataque a los servidores de la fundación Apache

El pasado día 13 de abril, a través de un post en el blog oficial del equipo de infraestructuras de Apache, se publicaron los detalles acerca de un ataque dirigido sobre los servidores de la fundación Apache.

En esta ocasión emplearon una vulnerabilidad desconocida en JIRA (un software de gestión de errores e incidencias en proyectos) que permitía efectuar ataques de cross-site scripting. Los atacantes, a través de un servidor virtual comprometido (alojado en SliceHost), abrieron una incidencia en JIRA en la cual incluyeron una URL corta redireccionada por el servicio TinyURL que desencadenaba el cross-site scripting; consiguieron comprometer varias sesiones de usuario, incluyendo algunas con derechos de administrador.

A la vez, emplearon un ataque por fuerza bruta sobre la página de login de JIRA ("login.jsp") en la que se llegaron a contabilizar, según Apache, cientos de miles de combinaciones de passwords.

Sin llegar a especificar que método fue exitoso, los atacantes lograron obtener una cuenta de administrador de JIRA que usaron para desactivar las notificaciones de cierto proyecto y cambiar la ruta, sobre la que se depositan los adjuntos, a una con permisos de escritura y ejecución de páginas JSP.

Mediante los cambios efectuados consiguen abrir incidencias para subir archivos en los adjuntos. Dichos archivos eran scripts JSP que integraban una especie de shell con la que copiaron los directorios "home" y archivos de varios usuarios de la máquina local.

Con la idea de obtener una cuenta con privilegios en la maquina, instalaron un JAR (una aplicación Java empaquetada) que servía de recolector de credenciales y enviaron correos al personal del equipo de infraestructuras pidiéndoles que resetearan sus cuentas en JIRA.

El personal del equipo, en vez de sospechar del correo, pensaron que se trataba de un error en JIRA y usaron el password temporal del correo para loguearse en la cuenta y resetearlo, volviendo a usar el mismo. Uno de esos password, ya interceptado por la aplicación de los atacantes, resultaba ser el mismo que una de las cuentas de la máquina local con el agravante de que la cuenta permitía hacer sudo.

La máquina comprometida alojaba, además de JIRA, las aplicaciones Confluence (una suerte de wiki), un Bugzilla y varias credenciales cacheadas de Subversion. Con estás credenciales accedieron a otra máquina, la que aloja el servidor people.apache.org e intentaron sin éxito escalar privilegios. 

En este punto, después de seis horas transcurridas desde el reseteo de los passwords, el equipo de Apache comenzó a contrarrestar el ataque.

Apache notificó a Atlassian, el fabricante de JIRA, acerca de la vulnerabilidad usada por los atacantes y en respuesta se han publicado dos boletines de servicio que corrigen el error.

Se lamenta Apache que aun después de dos días tras avisar a SliceHost, la empresa de hosting propietaria del servidor virtual comprometido, aun continuaba bajo el dominio de los atacantes e incluso fue empleado para efectuar un ataque adicional sobre Atlassian.
 
Autor: David García
Fuente: Hispasec
MAs info: blogs.apache.org

0 comentarios:

Publicar un comentario

laberinto

4G 4G/LTE 64 Bits acelerador acer Acrobar Reader Actividad Cerebral Actualidad actualizacion Adobe Alcatel Alerta de Seguridad algoritmo de seguridad Alianza Alpha Alta Velocidad alternativa AMD AMD vs Intel America Latina America Movil Android aniversario Antivirus AOL Apache aplicacion Aplicaciones web App Store apple archivos Asturix Asus AT T Ataque ATM Hunter Autos Avion Robótico Ayuntamientos Bancos BIS BitDefender Blackberry BlackBerry Internet Service Blizzard Blogs blu-Ray Bluetooth Blur Boletines Bugs BurstNET Buscadores cámara Campus Party canonical cayapa CeBit celular CENATIC Censura cern Chantaje chips Chorme Ciber piratas Cibertec Ciencia Cisco Consolas Control Remoto Corazon Robotico Core i5 Core i7 Core vPro correos Cydia DDR3 Demanda DEMO desarrolladores desktops digital Digitel Disco disco duro Disco Duro Movil Disco Externo DivX dominios Domotica Download Dreamweaver CS5 eBay EE.UU empresas energia Energia Solar España europa Facebook Falla Falla mundial Feria Festival FIFA Firefox Flash FlisolVe fotos Foxconn Fraudes freeware fuga de informacion fujifilm Fujitsu Gadgets Geek GeForce GeoHot giga GNU/linux google Google Chrome Google TV Google Wave GPLv2 GPS Gratis GSM Guia Hackear Hacker Hackers hacking Hardware Hotmail HTML5 IBM ICQ Identidad iMac India informacion Innovación interfaz internet Internet explorer ipad iPad killer iPhone Jailbreak Java jobs juegos Juegos de Guerra juegos de video Kapersky kernel kindle Kinect Kingston Kit Kyocera LabPixies lanzamiento Laptops Ley Sinde LG Linkedln Linkedln Today Linux Linux reader Logitech Mac Mac Pro malware Mastercard McAfee Medicina medidas Mexico Microprocesadores Microsoft Miscelaneas monitor Motorola Mozilla Firefox MSI multa MySQL Navegadores nintendo Nokia notebooks noticias nueva version nuevo Nvidia Office 2010 OLED OpenSolaris openSUSE Opera Oracle Orange ordenador OS Ovi P2P Panda pantalla pantallas parche parchea parches Patentes Picasa PingunoVe piratas Pirate ISP pirateo pirateria PlayBook Playstation Premio Privacidad Procesadores Productos Programa Malicioso PS3 PS3 Slim PSP Pwn2Own RC Record Guinness Rim robots routers Rumores safari samsung SanDisk SATA satelite Servidores Sharp sistema operativo Sistemas Operativos skype smartphones SMS Softswitch software Software Libre Sony SSC Ultimate Aero SSD SSL Symbian Symbian 3 T-Mobile Tarjeta gráfica Teclado iPhone Tecnolinux tecnologia Tecnología telecomunicaciones telefonia telefonía televisor Televisor 3D tera Terremoto Tips celulares Toshiba troyano Tuenti Turpial tv TweetDeek Twitter Ubuntu Ultra-portable unexpo USB USB 3.0 Usuarios Validez Venezuela video video Juegos videollamada Virus Vulnerabilidad wave 4 web webcam WePad Western Digital Wi-Fi wiki WikiLeack Wikipedia WikiUnix WildSide WiMAx WIND windows mobile Wine World of Warcraft Xbox Yahoo Youtube
 

Sample text