El pasado 30 de Mayo de 2.001, atacantes desconocidos accedieron al
servidor de la Apache Software Foundation (ASF), logrando el control
sobre las listas de correo, los servicios web y los archivos de código
fuente de todos los proyectos ASF.
La Apache Software Foundation (ASF) es una fundación creada para dar
cobertura legal, organizativa y económica a los proyectos Apache. Se
trata de proyectos «open source», del que el máximo exponente -aunque no
el único- es el servidor web Apache, el más utilizado de Internet.
La intrusión en la máquina de la ASF fue detectada rápidamente. El
servidor fue desconectado de Internet para analizar el alcance de la
intrusión y para reparar los daños causados, y ya se encuentra
disponible de nuevo en la red.
La auditoría realizada ha mostrado que no existe ninguna evidencia de
que se haya modificado ningún archivo de los proyectos Apache. Se han
verificado todos los archivos del sistema y se ha procedido a eliminar
caballos de troya y a reinstalar el sistema operativo y claves de acceso
nuevas.
El ataque tuvo lugar de la siguiente manera:
El 17 de Mayo de 2.001, uno de los desarrolladores Apache accedió a su
cuenta SourceForge a través de SSH. El cliente SSH de «SourceForge»
había sido manipulado por un atacante desconocido para que almacenase
los destinos, nombres de usuario y contraseñas de todas las conexiones
SSH salientes. Dado que el desarrollador Apache se conectó a la máquina
ASF desde su cuenta SourceForge, sus datos de acceso quedaron accesibles
para el atacante que había instalado el caballo de troya.
Dicho atacante conseguía, así, una cuenta SHELL en la máquina ASF,
aprovechando una vulnerabilidad en el OpenSSH 2.2 para conseguir
privilegios de administrador o «root». Con dicho nivel de acceso,
procedió a instalar troyanos con el fin de capturar más datos de
conexión de otros usuarios.
El sistema de auditoría automática, que se ejecuta de forma diaria,
detectó la modificación de diversos ficheros importantes, notificando
dicho hecho a los administradores de ASF, que adoptaron las medidas
apropiadas para verificar el alcance de la intrusión y restaurar el
sistema.
jcea@hispasec.com
Más información:
Apache.Org compromise report, May 30th, 2001
http://www.apache.org/info/hack-20010519.html
Cowboy cracker nails Apache
http://www.theregister.co.uk/content/8/19350.html
Hackers check out Apache source code – all of it
http://www.securitywatch.com/newsforward/default.asp?AID=7841
Apache Software Foundation
http://www.apache.org/
Deja una respuesta