Egy az Apache blogon megjelent incidensjelentés szerint a múlt hét folyamán sikeres célzott támadást hajtottak végre a szervezet egyik kiszolgálója (brutus.apache.org) ellen, melyen főként hibajegykezelést folytattak.

A közlemény szerint az Apache JIRA, Bugzilla, és Confluence szolgáltatásainak regisztrált felhasználói jelszavaihoz hozzáférhettek, ezért nekik ajánlatos a jelszavaikat lecserélni. 

A támadás több szinten zajlott, és több kisebb problémát felhasználva bontakozott ki. Egyrészt egy hibajegyhez felvett rövidített URL-en keresztül egy apache.org-on elhelyezett reflektív XSS kódot tartalmazó oldalra sikerült irányítani több adminisztrátort, akiknek munkamenetazonosítóit ellophatták. Emellett brute-force támadást intéztek a JIRA adminisztrátori login felületével szemben, ami legalább egy esetben szintén sikerrel járt. Az adminisztrátori felületen keresztül az értesítési beállításokat, valamint a csatolt fájlok tárolási útvonalát megváltoztatva ezután új hibajegyeket hoztak létre, melyekhez speciális JSP és JAR fájlokat csatoltak, melyekkel feltérképezhették az érintett szerver fájlrendszerét, és úgy módosíthatták a login alkalmazást, hogy az naplózni tudta az április 6-9. között bejelentkezett felhasználók jelszavait. 
A megszerzett jelszavak közül az egyik egy sudo-képes hely felhasználó jelszava is volt egyben, így a brutus.apache.org szerver fölött a támadók korlátlan hatalmat szereztek.

A JIRA és Confluence rendszereken tárolt jelszó hashek nem voltak saltolva, a Bugzillában tároltak igen (mindhárom helyen SHA algoritmust használtak).

További részletek a hivatalos incidens riportban.