Apache compromesso tramite XSS

Un dominio di Apache è stato compromesso da un attacco XSS ed il tramite sembra essere un shortener URL.

Ecco brevemente cosa è successo:

• Il 5 aprile è stato compromesso SliceHost tramite http://tinyurl.com/xxxxxxxxx ottenendo l'accesso ad un istanza Apache JIRA. Il suddetto URL (oscurato) conteneva una stringa XSS che consentiva di "rubare" i cookie di sessione di altri utenti loggati.
  
  Allo stesso tempo gli aggressori iniziano un attacco di brute force contro login.jsp. 
• In data 6 aprile i metodi di attacco danno frutti, e dopo aver ottenuto i privilegi di amminstratore, gli aggressori disabilitano le notifiche ad un progetto e caricano una backdoor.
  
• La mattina del 9 aprile gli aggressori installano in file JAR per la raccolta di tutte le credenziali per poi mandare una mail di reset al team di sviluppo, i quali credendo di avere un semplice errore, modificano le proprie credenziali di accesso.
  
  Una di queste nuove password era per caso la stessa di un utente per l'account ad brutus.apache.org. Gli aggressori sono stati cosi in grado di accedere alla suddetta macchina e di prenderne il pieno possesso.
  
• 6 ore più tardi è cominciato il reset delle password da parte degli aggressori e l'arresto dei servizi

Qui si entra in una situazione di stallo dal momento che gli attaccanti avevano preso possesso anche delle macchina thor.apache.org, quindi non ci si poteva più fare delle propri sistemi operativi.

• Il 10 aprile JIRA e Bugzilla erano nuovamente UP
• Il 13 sono state fornite da parte di Atlassian le patch per poter prevenire l'attacco XSS, JRA-20994 e JRA-20995

Fonte: blog.apache.org