Este viernes los servidores de la fundación Apache presentaron durante unas cuantas horas una escueta página informando que se encontraban investigando un incidente en sus servidores.
Aclaraban que no se trataba de un exploit que afectase al popular servidor web, producto de la propia fundación, sino de una llave SSH comprometida.
La llave en cuestión permitía el acceso a una cuenta para efectuar copias de respaldo automáticas del sitio web «ApacheCon», en una máquina situada en un alojamiento externo a la fundación. Dicha máquina fue usada para subir archivos a un servidor de su infraestructura, denominado minotaur.apache.org, con funciones notables, como proveer de cuentas para los «comitters» -cuentas con acceso de escritura a los repositorios de código- y de entrada a los distintos sitios web de la fundación Apache.
Según las primeras investigaciones, fueron creados varios archivos dentro del dominio «www.apache.org», incluyendo varios scripts CGI, que fueron usados para sincronizar dichos archivos con varios servidores en producción e inyectar procesos en los servicios web funcionales.
Tras detectar los procesos que inyectaron los atacantes procedieron a detener los sistemas afectados, de esta manera, por algunos instantes, no se podía acceder a ninguno de los sitios web de Apache, hasta que se procedió a cambiar los DNS hacia una máquina no afectada para mostrar un mensaje informativo indicando la situación en la que se encontraban.
Después de asegurarse de que la infraestructura que la fundación posee en Europa no estaba afectada -los atacantes llegaron a subir los archivos pero no fueron ejecutados-, usaron las copias de respaldo no comprometidas para restaurar los servicios en lo posible, permaneciendo gran parte de su infraestructura detenida para evaluar los daños causados por los atacantes.
Aunque, según Apache, no tienen conocimiento de usuarios finales afectados, ni de que las descargas fueran afectadas, enfatizan efectuar la verificación de la firma digital de los archivos.
dgarcia@hispasec.com
Más información:
apache.org downtime – initial report
https://blogs.apache.org/infra/entry/apache_org_downtime_initial_report
Apache.org hack
http://www.f-secure.com/weblog/archives/00001757.html
Deja una respuesta