5 апреля на веб-сервисе Apache JIRA (разработчик Atlassian) был создан тикет INFRA-2591, который эксплуатировал XSS-уязвимость в системе JIRA и содержал ссылку на короткий URL сервиса TinyURL. С использованием XSS и указанной ссылки злоумышленникам удалось получить cookies, принадлежащие авторизированным администраторам сайта. Параллельно проводимой XSS-атаке, был организован подбор паролей по словарю, направленный на системы авторизации JIRA, таким образом были скомпрометированы учетные записи, содержащие словарные пароли.
На следующий день, получив пароль администратора злоумышленникам удалось изменить опубликованные JSP-приложения на вредоносный код, который обеспечил удаленный доступ к файловой системе веб-сервиса.
9 апреля, с использованием JAR-приложения нападавшим удалось собрать пароли пользователей, которые сохранялись при авторизации в системе JIRA. Основной задачей злоумышленников было получить администраторский доступ к другим серверам проекта Apache, поэтому вместе со сбором паролей от авторизированных пользователей был произведен сброс паролей членов команды Apache, в результате которого члены команды получили письмо о необходимости изменить пароль для доступа к веб-сервису JIRA. Думая, что сброс пароля стал сбоем в работе системы JIRA, члены команды изменили пароли, при этом один из паролей оказался таким же, как и у администратора на сервере brutus.apache.org (веб-сервисы JIRA, Confluence и Bugzilla). Таким образом злоумышленникам удалось получить полный администраторский доступ через SSH. Обнаружив кэшированные учетные записи на сервере, злоумышленники попытались получить доступ к основному серверу Apache - minotaur.apache.org (people.apache.org), однако, доступ так и не был получен. Спустя 6 часов после сброса паролей, команда Apache заподозрила неладное и предприняла меры по переезду на новый веб-сервер thor.apache.org, так как злоумышленники имели администраторский доступ к brutus.apache.org в течение нескольких часов. Вместе с тем, об уязвимости было сообщено разработчикам системы JIRA и его состояние не вызывало доверия.
К 10 апреля, сервисы JIRA и Bugzilla вернулись в Интернет, а 13 апреля компания Atlassian исправила XSS-уязвимость. Проект Confluence на данный момент находится в процессе восстановления.
Подробнее