Aanvallers hebben via een gerichte Cross Site Scripting (XSS) aanval de infrastructuur van Apache.org gehackt en wachtwoorden van gebruikers gestolen. Het gaat om de gehashte wachtwoorden van gebruikers van JIRA, Bugzilla en Confluence. Apache is de meest gebruikte webserver op het internet. De aanvallers rapporteerden op 5 april, via een gehackte SliceHost server, een nieuw probleem met het nummer INFRA-2591. In het bericht stond dat de gebruiker een foutmelding kreeg tijdens het browsen van sommige JIRA projecten. Daarbij stond een Tinyurl vermeld.

Deze specifieke URL verwees naar JIRA, met een speciale URL waarin een XSS-aanval zat verstopt. De aanvallers maakten zo het sessie cookie van de ingelogde JIRA-gebruiker buit. Verschillende administrators van het Apache infrastructuur team klikten op de link van de aanvallers, die vervolgens JIRA administratorrechten kregen. Op het zelfde moment van de XSS-aanval, lanceerden de aanvallers een brute-force aanval tegen de JIRA login.jsp, waarbij er honderdduizenden wachtwoord combinaties werden geprobeerd.

Backdoor
Op 6 april was één van de aanvallen succesvol. De aanvallers installeerden vervolgens een backdoor op het systeem waar het JIRA account op draaide. Drie dagen later installeerden de aanvallers een JAR-bestand dat alle wachtwoorden verzamelde. Ze stuurden daarna wachtwoord reset e-mails naar JIRA-leden van het Apache infrastructuur team. De teamleden dachten dat JIRA met een onschuldige bug had te maken en logden via het in de e-mail vermeldde wachtwoord in. Vervolgens wijzigden ze het wachtwoord van hun account met hun oorspronkelijke wachtwoord.

Eén van deze wachtwoorden was hetzelfde wachtwoord van een lokale gebruiker op brutus.apache.org en deze gebruiker had ook volledige sudo rechten. Zodoende kregen de aanvallers volledige roottoegang tot de machine. Deze machine host de Apache installaties van JIRA, Confluence en Bugzilla. Op brutus.apache.org ontdekten de aanvallers de gecachte Subversion authenticatie inloggegevens, die ze gebruikten om op minotaur.apache.org in te loggen, de primaire shell server. Het lukte de aanvallers niet om op minotaur hun rechten te verhogen.

Waarschuwing
Zes uur naar het resetten van de wachtwoorden, ontdekte het Apache team dat de aanvallers bepaalde services uitschakelden. Apache waarschuwde Atlassian (ontwikkelaar van JIRA) en SliceHost. Atlassian reageerde snel, maar SliceHost deed niets en twee dagen later werd dezelfde gehackte virtuele host gebruikt voor het aanvallen van Atlassian. Aangezien de aanvallers verschillende uren toegang tot brutus.apache.org hadden, was het besturingssysteem niet langer te vertrouwen, aldus het Apache team. Op 13 april patchte Atlassian JIRA.

Volgens Apache werkte het gebruik van one-time wachtwoorden. "Een echte levensredder." Service isolation werkte gedeeltelijk, zo staat in de analyse van de aanval. Wat niet werkte was de JIRA installatie. De JIRA daemons draaien als de gebruiker die JIRA installeerde. Daarnaast had men voor JIRA en brutus.apache.org verschillende wachtwoorden moeten gebruiken. Ook het inconsistente gebruik van one-time wachtwoorden deed Apache de das om. Op alle andere machines hanteerde men deze maatregel, maar niet op brutus. Verder had men de SSH wachtwoorden niet moeten laten inloggen over het internet.

Wachtwoorden
Wat betreft de wachtwoorden van gebruikers lopen vooral accounts van JIRA en Confluence risico. Die wachtwoorden gebruiken een SHA-512 hash, maar zonder salt. Eenvoudige wachtwoorden zouden daardoor makkelijk via een woordenboek-aanval te zijn achterhalen. Deze gebruikers krijgen het advies hun wachtwoord te wijzigen. Bugzilla gebruikt SHA-256 hashes, maar met salt. Daardoor is het risico voor de meeste gebruikers klein, aldus Apache. Toch doen ook deze gebruikers er verstandig aan hun wachtwoord te wijzigen.

"We hopen dat onze bekendmaking zo open mogelijk is geweest, zodat anderen van onze fouten kunnen leren", zo laat Apache weten. Vorig jaar augustus werd ook al een server van Apache gehackt.