Página principal
| Foro de MundoPC.NET Foros de ayuda | Mapa Web Mapa del sitio  
 | ¡Intercambio de enlaces! |
¿Qué opinas?

¿Qué sistema móvil usas?

Ver resultados

Loading ... Loading ...
Archivos

Crónica del ataque a los servidores de la fundación Apache


El pasado día 13 de abril, a través de un post en el blog oficial del  equipo de infraestructuras de Apache, se publicaron los detalles acerca  de un ataque dirigido sobre los servidores de la fundación Apache.
En esta ocasión emplearon una vulnerabilidad desconocida en JIRA (un  software de gestión de errores e incidencias en proyectos) que permitía  efectuar ataques de cross-site scripting. Los atacantes, a través de un  servidor virtual comprometido (alojado en SliceHost), abrieron una  incidencia en JIRA en la cual incluyeron una URL corta redireccionada  por el servicio TinyURL que desencadenaba el cross-site scripting;  consiguieron comprometer varias sesiones de usuario, incluyendo algunas  con derechos de administrador.

A la vez, emplearon un ataque por fuerza bruta sobre la página de login  de JIRA (“login.jsp”) en la que se llegaron a contabilizar, según  Apache, cientos de miles de combinaciones de passwords.

Sin llegar a especificar que método fue exitoso, los atacantes lograron  obtener una cuenta de administrador de JIRA que usaron para desactivar  las notificaciones de cierto proyecto y cambiar la ruta, sobre la que  se depositan los adjuntos, a una con permisos de escritura y ejecución  de páginas JSP.

Mediante los cambios efectuados consiguen abrir incidencias para subir  archivos en los adjuntos. Dichos archivos eran scripts JSP que  integraban una especie de shell con la que copiaron los directorios  “home” y archivos de varios usuarios de la máquina local.

Con la idea de obtener una cuenta con privilegios en la maquina,  instalaron un JAR (una aplicación Java empaquetada) que servía de  recolector de credenciales y enviaron correos al personal del equipo  de infraestructuras pidiéndoles que resetearan sus cuentas en JIRA.

El personal del equipo, en vez de sospechar del correo, pensaron que se  trataba de un error en JIRA y usaron el password temporal del correo  para loguearse en la cuenta y resetearlo, volviendo a usar el mismo. Uno  de esos password, ya interceptado por la aplicación de los atacantes,  resultaba ser el mismo que una de las cuentas de la máquina local con  el agravante de que la cuenta permitía hacer sudo.

La máquina comprometida alojaba, además de JIRA, las aplicaciones  Confluence (una suerte de wiki), un Bugzilla y varias credenciales  cacheadas de Subversion. Con estás credenciales accedieron a otra  máquina, la que aloja el servidor people.apache.org e intentaron  sin éxito escalar privilegios.

En este punto, después de seis horas transcurridas desde el reseteo de  los passwords, el equipo de Apache comenzó a contrarrestar el ataque.

Apache notificó a Atlassian, el fabricante de JIRA, acerca de la  vulnerabilidad usada por los atacantes y en respuesta se han publicado  dos boletines de servicio que corrigen el error.

Se lamenta Apache que aun después de dos días tras avisar a SliceHost,  la empresa de hosting propietaria del servidor virtual comprometido, aun  continuaba bajo el dominio de los atacantes e incluso fue empleado para  efectuar un ataque adicional sobre Atlassian.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4190/comenta…

Más información

apache.org incident report for 04/09/2010
https://blogs.apache.org/infra/entry/apache_o…

David García
dgarcia[dgarcia arroba hispasec.com]

Fuente: http://hispasec.com

Related Posts Plugin for WordPress, Blogger...
Actualizado el 15 abril 2010 - 18:54

Un comentario para “Crónica del ataque a los servidores de la fundación Apache”

Deja un comentario

Suscríbete

Recibe nuestro boletín

Escribe tu correo electrónico

¿Tienes dudas? Haz clic aquí

Visítanos en facebook Visítanos en twitter Suscríbete a nuestro Feed

Enlaces

¿Quieres intercambiar un enlace con MundoPC.NET ?

Haz clic en el botón y averigua cómo

MundoPC.NET
Cursos