Server der Apache Software Foundation kompromittiert
Angreifer drangen in mehrere Systeme der Apache Foundation ein und spähten zahlreiche Passwörter aus. Die Software der einzelnen Projekte wurde wohl nicht kompromittiert.
- Daniel Bachfeld
Ende vergangener Woche haben unbekannte Angreifer mehrere Systeme der Apache Software Foundation (ASF) kompromittiert, bei der möglicherweise zahlreiche Passwörter ausgespäht wurden. Laut einem dazu vorliegenden Bericht der Foundation gingen die Unbekannten dabei sehr gezielt und hartnäckig vor.
Zunächst griffen sie einen von der ASF benutzten, kommerziellen Issue-Tracking-Server (Atlassian JIRA) an. Dabei verschickten sie Mails an mehrere Administratoren mit einem speziellen Link, der offenbar eine unbekannte Cross-Site-Scripting-Schwachstelle in JIRA ausnutzte, um Authentifizierungscookies auszulesen. Gleichzeitig starteten die Angreifer eine Brute-Force-Attacke auf den Server, um mehrere tausend Passwörter an JIRA-Konten durchzuprobieren.
Die Attacken führten in der Folge dazu, dass die Angreifer Zugriff auf ein Konto mit administrativen Rechten erhielten. Dies nutzten sie, um eine eigene Log-in-Maske auf dem JIRA-System zu installieren, um damit wiederum Passwörter von JIRA-Anwendern zu sammeln. Eines dieser Passwörter war das gleiche, das ein Administrator zum Zugang zum zugrundliegenden System (brutus.apache.org) benutzte, auf dem JIRA lief – sowie zusätzlich das Bugzilla-System und die kommerzielle Wiki-Software Confluence.
Auf brutus.apache.org spähten die Eindringlinge außerdem gecachte Log-in-Daten des Subversion-Systems aus, die sie wiederum zum Anmelden an minotaur.apache.org (respektive people.apache.org), dem Haupt-Shell-Server, benutzten. Dort endete dann allerdings die Reise, da die Angreifer nur an unprivilegierte Konten gelangten und zudem die Administratoren der Apache Software Foundation den Einbruch bemerkten und die Systeme herunterfuhren.
Mittlerweile sind die Dienste wieder erreichbar, die kompromittierten Systeme (brutus) wurden aber vorsorglich ausgetauscht. Allerdings befürchten die Entwickler, dass die Angreifer Kopien der gehashten Passwörter der JIRA-, Bugzilla- und Confluence-Server erstellt haben. Zwar sollen diese mit SHA-512 beziehungsweise SHA-256 gehasht sein, bei einfachen Passwörtern lassen sich diese aber dennoch mit simplen Wörterbuchattacken schnell ermitteln. Anwender sollten also ihre Passwörter wechseln. Dies gilt insbesondere für die Anwender, die sich zwischen dem 6. und 9. April auf dem JIRA-System angemeldet haben. In diesem Zeitraum hatten die Angreifer nämlich die Log-in-Maske manipuliert.
Kurz nach dem Vorfall informierte die Apache Software Foundation Atlassian, den Hersteller von JIRA und Confluence sowie Slicehost, den Betreiber des geknackten Systems, von wo aus die Angriffe ihren Ursprung nahmen. Allerdings reagiert Slicehost nicht, sodass zwei Tage später die Angreifer den JIRA-Server von Atlassain direkt erfolgreich attackierten. Dort hat der Angriff aber offenbar erheblich größeren Schaden angerichtet, da auf dem System noch ein Backup einer älteren Datenbank mit unverschlüsselten Passwörter lag. (dab)
