De Apache Foundation doet uitgebreid verslag van de hack op het blog van het Apache Infrastructure Team. De aanvallers hebben een Atlassian JIRA issue tracker server gehackt met een combinatie van cross site scripting en brute force. Na een dag had die aanval succes en kregen de aanvallers admin toegang tot een JIRA account. Daar konden ze de waarschuwingen uitzetten en paden voor het uploaden van attachments veranderen.

Ze maakten kopieën van /home directory’s van verschillende gebruikers en voegden JSP files toe waardoor ze achteringangen kregen tot het systeem. Vervolgens verzamelden ze meer wachtwoordcombinaties door het verzenden van reset mails. Met die wachtwoorden kregen ze vervolgens ook nog volledige sudo-toegang tot brutus.apache.org, de machine waarop JIRA, Confluence en Bugzilla van Apache worden gehost.

Van daaruit kregen ze vervolgens ook nog toegang tot minotaur.apache.org, en ook daar konden ze hun rechten uitbreiden. Toen ze wachtwoorden gingen resetten werden ze echter opgemerkt, waarna de beheerders de diensten neerhaalden. Vervolgens werd ook Atlassian nog direct aangevallen.

Het Apache team laat ook nog weten wat erger heeft voorkomen, zoals het gebruik van one time passwords. Maar ook wat er mis is gegaan. Zo had nooit hetzelfde wachtwoord gebruikt mogen worden voor het JIRA account en voor het sudo-account op brutus.

Alle users van JIRA, Bugzilla en Confluence worden gewaarschuwd dat hun wachtwoorden op straat kunnen liggen, en dat ze veranderd moeten worden.

Nog geen jaar geleden werd minotaur ook al gehackt. Apache wordt geprezen voor de professionele manier waarop ze de aanvallen aanpakken en voor de openhartigheid waarop ze over de succesvolle aanvallen belichten.

Bron: Techworld