El pasado día 13 de abril, a través de un post en el blog oficial del equipo de infraestructuras de Apache, se publicaron los detalles acerca de un ataque dirigido sobre los servidores de la fundación Apache.
En esta ocasión emplearon una vulnerabilidad desconocida en JIRA (un software de gestión de errores e incidencias en proyectos) que permitía efectuar ataques de cross-site scripting. Los atacantes, a través de un servidor virtual comprometido (alojado en SliceHost), abrieron una incidencia en JIRA en la cual incluyeron una URL corta redireccionada por el servicio TinyURL que desencadenaba el cross-site scripting; consiguieron comprometer varias sesiones de usuario, incluyendo algunas con derechos de administrador.
A la vez, emplearon un ataque por fuerza bruta sobre la página de login de JIRA («login.jsp») en la que se llegaron a contabilizar, según Apache, cientos de miles de combinaciones de passwords.
Sin llegar a especificar que método fue exitoso, los atacantes lograron obtener una cuenta de administrador de JIRA que usaron para desactivar las notificaciones de cierto proyecto y cambiar la ruta, sobre la que se depositan los adjuntos, a una con permisos de escritura y ejecución de páginas JSP.
Mediante los cambios efectuados consiguen abrir incidencias para subir archivos en los adjuntos. Dichos archivos eran scripts JSP que integraban una especie de shell con la que copiaron los directorios «home» y archivos de varios usuarios de la máquina local.
Con la idea de obtener una cuenta con privilegios en la maquina, instalaron un JAR (una aplicación Java empaquetada) que servía de recolector de credenciales y enviaron correos al personal del equipo de infraestructuras pidiéndoles que resetearan sus cuentas en JIRA.
El personal del equipo, en vez de sospechar del correo, pensaron que se trataba de un error en JIRA y usaron el password temporal del correo para loguearse en la cuenta y resetearlo, volviendo a usar el mismo. Uno de esos password, ya interceptado por la aplicación de los atacantes, resultaba ser el mismo que una de las cuentas de la máquina local con el agravante de que la cuenta permitía hacer sudo.
La máquina comprometida alojaba, además de JIRA, las aplicaciones Confluence (una suerte de wiki), un Bugzilla y varias credenciales cacheadas de Subversion. Con estás credenciales accedieron a otra máquina, la que aloja el servidor people.apache.org e intentaron sin éxito escalar privilegios.
En este punto, después de seis horas transcurridas desde el reseteo de los passwords, el equipo de Apache comenzó a contrarrestar el ataque.
Apache notificó a Atlassian, el fabricante de JIRA, acerca de la vulnerabilidad usada por los atacantes y en respuesta se han publicado dos boletines de servicio que corrigen el error.
Se lamenta Apache que aun después de dos días tras avisar a SliceHost, la empresa de hosting propietaria del servidor virtual comprometido, aun continuaba bajo el dominio de los atacantes e incluso fue empleado para efectuar un ataque adicional sobre Atlassian.
dgarcia@hispasec.com
Deja una respuesta