Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Célzott támadás az Apache SF ellen

2010.04.13. 11:53 | buherator | 2 komment

Egy az Apache blogon megjelent incidensjelentés szerint a múlt hét folyamán sikeres célzott támadást hajtottak végre a szervezet egyik kiszolgálója (brutus.apache.org) ellen, melyen főként hibajegykezelést folytattak.

A közlemény szerint az Apache JIRA, Bugzilla, és Confluence szolgáltatásainak regisztrált felhasználói jelszavaihoz hozzáférhettek, ezért nekik ajánlatos a jelszavaikat lecserélni. 

A támadás több szinten zajlott, és több kisebb problémát felhasználva bontakozott ki. Egyrészt egy hibajegyhez felvett rövidített URL-en keresztül egy apache.org-on elhelyezett reflektív XSS kódot tartalmazó oldalra sikerült irányítani több adminisztrátort, akiknek munkamenetazonosítóit ellophatták. Emellett brute-force támadást intéztek a JIRA adminisztrátori login felületével szemben, ami legalább egy esetben szintén sikerrel járt. Az adminisztrátori felületen keresztül az értesítési beállításokat, valamint a csatolt fájlok tárolási útvonalát megváltoztatva ezután új hibajegyeket hoztak létre, melyekhez speciális JSP és JAR fájlokat csatoltak, melyekkel feltérképezhették az érintett szerver fájlrendszerét, és úgy módosíthatták a login alkalmazást, hogy az naplózni tudta az április 6-9. között bejelentkezett felhasználók jelszavait. 
A megszerzett jelszavak közül az egyik egy sudo-képes hely felhasználó jelszava is volt egyben, így a brutus.apache.org szerver fölött a támadók korlátlan hatalmat szereztek.

A JIRA és Confluence rendszereken tárolt jelszó hashek nem voltak saltolva, a Bugzillában tároltak igen (mindhárom helyen SHA algoritmust használtak).

További részletek a hivatalos incidens riportban.

Címkék: incidens apache xss

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2010.04.13. 13:39:02

"A megszerzett jelszavak közül az egyik egy sudo-képes hely felhasználó jelszava is volt egyben, így a brutus.apache.org szerver fölött a támadók korlátlan hatalmat szereztek."

Nice. A doksibol amugy latszik hogy nemhulyek a fiuk, csak ezt beneztek. En enforce-oltam volna az opie-t.

synapse