Compromiso de seguridad en el web de Apache

El pasado 30 de Mayo de 2.001, atacantes desconocidos accedieron al
servidor de la Apache Software Foundation (ASF), logrando el control
sobre las listas de correo, los servicios web y los archivos de código
fuente de todos los proyectos ASF.
La Apache Software Foundation (ASF) es una fundación creada para dar
cobertura legal, organizativa y económica a los proyectos Apache. Se
trata de proyectos «open source», del que el máximo exponente -aunque no
el único- es el servidor web Apache, el más utilizado de Internet.

La intrusión en la máquina de la ASF fue detectada rápidamente. El
servidor fue desconectado de Internet para analizar el alcance de la
intrusión y para reparar los daños causados, y ya se encuentra
disponible de nuevo en la red.

La auditoría realizada ha mostrado que no existe ninguna evidencia de
que se haya modificado ningún archivo de los proyectos Apache. Se han
verificado todos los archivos del sistema y se ha procedido a eliminar
caballos de troya y a reinstalar el sistema operativo y claves de acceso
nuevas.

El ataque tuvo lugar de la siguiente manera:

El 17 de Mayo de 2.001, uno de los desarrolladores Apache accedió a su
cuenta SourceForge a través de SSH. El cliente SSH de «SourceForge»
había sido manipulado por un atacante desconocido para que almacenase
los destinos, nombres de usuario y contraseñas de todas las conexiones
SSH salientes. Dado que el desarrollador Apache se conectó a la máquina
ASF desde su cuenta SourceForge, sus datos de acceso quedaron accesibles
para el atacante que había instalado el caballo de troya.

Dicho atacante conseguía, así, una cuenta SHELL en la máquina ASF,
aprovechando una vulnerabilidad en el OpenSSH 2.2 para conseguir
privilegios de administrador o «root». Con dicho nivel de acceso,
procedió a instalar troyanos con el fin de capturar más datos de
conexión de otros usuarios.

El sistema de auditoría automática, que se ejecuta de forma diaria,
detectó la modificación de diversos ficheros importantes, notificando
dicho hecho a los administradores de ASF, que adoptaron las medidas
apropiadas para verificar el alcance de la intrusión y restaurar el
sistema.

Más información:

Apache.Org compromise report, May 30th, 2001
http://www.apache.org/info/hack-20010519.html

Cowboy cracker nails Apache
http://www.theregister.co.uk/content/8/19350.html

Hackers check out Apache source code – all of it
http://www.securitywatch.com/newsforward/default.asp?AID=7841

Apache Software Foundation
http://www.apache.org/

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

• View all posts by Hispasec →
• Blog