|
The Apache Software Foundation provides support for the Apache community of open-source software projects. |
Apacheサーバが6日から9日までの間、何者かによる侵入を受けパスワードなどの情報が盗まれた。どのような手口で侵入され、何がおこなわれたかをApache Infrastructure TeamのPhilip Gollucci氏がapache.org incident report for 04/09/2010 : Apache Infrastructure Teamにおいて報告している。どういった手口で侵入が謀られたのかが詳しく説明されており参考になる。
5日、攻撃者はAtlassian JIRAで運用されているApacheの問題報告システムに「ive got this error while browsing some projects in jira http://tinyurl.com/ybnf8xt」というメッセージを含んだバグ報告を登録。このショートURLはJIRAのXSS脆弱性を突くURLになっており、セッションのクッキーが盗める仕組みになっていたという。
攻撃者は手に入れたクッキーを使って問題報告システムにアクセスし、パスワードを総当たり攻撃で推測。6日にはログインに成功する。ユーザのホームディレクトリのデータをコピーするプログラムを仕込んだほか、9日にはパスワードを盗むプログラムを仕込んでから、Apache Infrastructure Teamメンバーのパスワードをリセット。メンバーは事の真相に気がつかずに、メールで送られてきた一時的なパスワードを使ってログインし、もとのパスワードを入力。
こうして盗んだパスワードの中にほかのサーバで使われているものがあり、そこから別のサーバにログイン。9日にApache Infrastructure Teamメンバーが攻撃者に気がついて対処するまでの間、結局、ApacheでホスティングされているJIRA、Confluence、Bugzillaのアカウント情報などが盗まれることになった。同サーバのアカウントを持っている開発者やユーザは、そこで使っているパスワードが別の攻撃に使われる可能性があることから対応する必要がある。
Apacheのサーバが攻撃を受け侵入を許した事例はこれがはじめてではない。Apacheは2009年8月28日にも攻撃を受けており、同じくApache Infrastructure Teamから事の真相が発表されている。侵入を許すきっかけになったJIRAのXSS脆弱性に対応するパッチは13日には提供されている。
