Apache schafft Transparenz zu Sicherheitsvorfall
Apache hat einen Incident Report veröffentlicht, der den gezielten Angriff vom 05.04.2010 auf Apache.org beschreibt. Andere Firmen bringen so viel Transparenz auch in internen Berichten nicht zustande!
Der Angriff erfolgte auf eine Ubuntu Linux 8.04 LTS Machine, auf der gehashte Passwörter von Apaches JIRA, Confluence und Bugzilla enthalten waren. Dabei handelte es sich entweder um SHA-512 Hashes oder bei Bugzilla um SHA-256 Hashes.
Der Angreifer platzierte einen XSS-Angriff, auf den einige JIRA-Administratoren herein fielen. So erhielt er für JIRA Administrator-Rechte. Außerdem ließ er einige Apache-Leute ihr Passwort ändern, indem er ihnen einen Passwort-Reset unterschob, wie man ihn anfordern kann, wenn man sein Passwort vergessen hat. Diese hielten den Reset für einen harmlosen Bug und gingen dem Angreifer ebenfalls auf den Leim. Eines der so eingesammelten Passworte passte schließlich zu einem lokalen Account mit sudo-Rechten auf dem Ubuntu Server, auf dem JIRA, Confluence und Bugzilla gehostet sind.
Auch enthalten ist eine Liste der gemachten Fehler:
- Der JIRA Dämon lief unter den Benutzerrechten der Person, die JIRA installiert hatte. Das hatte – wie so oft auf dieser Welt – historische Gründe, war aber ein Fehler.
- Es hätte für einen JIRA Account und den sudo-Zugriff auf den Host nie das selbe Passwort genutzt werden dürfen.
- Nicht für alle sudo-User waren Einmal-Passwörter konfiguriert.
- SSH-Passwörter hätten nicht für den Internet-Zugriff genutzt werden dürfen.
- Fail2Ban war zwar für viele Dienste konfiguriert, leider aber nicht für JIRA.
Am Ende des Reports begründet der Autor die vorbildliche Intention des offenen Berichts:
We hope our disclosure has been as open as possible and true to the ASF spirit. Hopefully others can learn from our mistakes.
