شماره: IRCNE201004706
مهاجمان در يك حمله هدايت شده و هدفدار با سوءاستفاده از يك آسيب پذيري cross-site scripting(XSS) همراه با ابزار TinyURL توانستند به صورت موفق آميز زيرساخت آپاچي را مورد هك قرار دهند.
هكرها سروري را كه ميزبان نرم افزاري است كه Apache.org از آن براي دنبال كردن درخواستها و مشكلات استفاده مي كند، مورد حمله قرار دادند و تمام كلمات عبور بر روي آن را سرقت كردند. اين نرم افزار بر روي brutus.apache.org قرار داشته است و سيستم عامل Ubintu Linux 8.04 LTS بر روي آن نصب بوده است.
البته كلمات عبور موجود بر روي سرور رمزنگاري شده بودند ولي آپاچي گفته است كه خطر رمزگشايي رمزهاي عبور ساده بسيار بالا است و كاربران را تشويق به تغيير رمزهاي عبور كرده است. همچنين آپاچي گفته است، كاربراني كه از فاصله 6 آوريل تا 9 آوريل به JIRA وارد شده اند، بايد رمز عبور خود را از دست رفته تلقي كنند چراكه در اين مدت هكرها فرم login را طوري تغيير داده بودند تا كاربران بر روي فرم آنها login كنند.
هكرها در تاريخ 5 آوريل يك مشكل به شكل زير را ثبت كردند:
ive got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXXX [obscured]
هكرها ابتدا با استفاده از TinyURL كه ابزاري براي خلاصه سازي آدرس هاي اينترنت است و حمله XSS توانستند نشست هاي كاربران را كه به JIRA وارد شده بودند، سرقت كنند. زماني كه پيغام فوق وارد سيستم شد، چندين نفر از مديران بر روي آن كليك كردند و از اين طريق نشست آنها همراه با حقوق مديريتي JIRA آنها به سرقت رفت.
هكرها همزمان با اقدامات فوق حملات brute force را بر عليه Login.jsp در JIRA انجام دادند و تركيب صدها هزار كلمه عبور را آزمودند تا بالاخره در 6 آوريل به يك رمز عبور مديريتي دست پيدا كردند. آنها با استفاده از اين حساب كاربري مسير بارگذاري پيوست ها را تغيير دادند. مسير مقصد جديد فايل هاي JSP را اجرا مي كرد. آنها سپس چندين issue جديد را ثبت كرده و همراه آنها فايل هاي JSP بارگذاري كردند. يكي از اين فايل ها مي توانست فايلهاي سيستم را مرور و كپي كند. مهاجمان از اين امكان براي كپي كردن تعداد زيادي دايركتوري home كاربران سود جستند.
مهاجمان در جديدترين اقدام خود در 9 آوريل يك فايل JAR، كه قابليت جمع آوري نام و كلمه عبور را در زمان login داشت، نصب كردند. آنها سپس ايميل هاي تغيير رمز عبور را براي اعضاي تيم Appache Infrastructure ارسال كرده و به اين ترتيب توانستند تعداد زيادي رمز عبور را به سرقت ببرند.
- 9