Abo
  • IT-Karriere:

Server der Apache Software Foundation angegriffen

Angreifer verschaffen sich Zugang über JIRA zu weiteren ASF-Servern

Ein erfolgreicher Angriff auf die Server der Apache Software Foundation hat es Hackern ermöglicht, tausende von Passwörtern auszulesen. Benutzer der von Apache gehosteten JIRA, Bugzilla oder Confluence Server sollten ihre Passwörter ändern.

Artikel veröffentlicht am ,

Die Hostingserver der Apache Software Foundation (ASF) sind kompromittiert worden. Betroffen sind der kommerzielle Server der Firma Atlassian, der den Issue-Tracker JIRA hostet (Atlassian JIRA), sowie der JIRA-Server bei Apache brutus.apache.org und der Haupt-Shell-Server people.apache.org (minotaur.apache.org).

Stellenmarkt
  1. BWI GmbH, Germersheim
  2. MorphoSys AG, Planegg Raum München

Benutzer der JIRA-, Bugzilla- oder Confluence-Services werden aufgefordert, ihre Passwörter zu ändern. Insbesondere sind die Benutzer betroffen, die sich zwischen dem 6. und dem 9. April 2010 auf Apache JIRA angemeldet haben.

Laut Apache griffen die Hacker den Atlassian-JIRA-Server über zwei Vektoren an. Zunächst wurde eine Attacke per Cross-Site-Scripting (XSS) initiiert, die eine Cookie-Session eines angemeldeten Benutzers stehlen sollte. Dafür erstellten die Angreifer ein neues Ticket und betteten eine gespickte URL ein.

Zeitgleich wurde eine Brute-Force-Attacke gestartet, über die zahlreiche Passwörter ausprobiert wurden. Über einen dieser Angriffsvektoren verschafften sich die Angreifer Zutritt mit Rootrechten zum JIRA-Server, wo sie ungehindert Dateien und Verzeichnisse durchstöbern und über präparierte JSP-Dateien herunterladen konnten. Zusätzlich fingen sie Passworteingaben über die Login-Oberfläche ab.

Eines dieser Passwörter wurde von einem Administrator auch für das Login auf brutus.apache.org verwendet, der dort Sudo-Rechte besaß. Neben JIRA hostete dieser Server (brutus.apache.org) auch Confluence und Bugzilla. Dort wiederum konnten die Angreifer die gecachten Daten von Subversion-Zugängen auslesen und weitere Passwörter ergattern. Mit diesen konnten sie sich dann auf dem Haupt-Shell-Server minotaur.apache.org einloggen, dort aber keine Root-Rechte erlangen und somit wenig Schaden anrichten.

Nachdem das Apache-Team den Einbruch bemerkt hatte, wurden die entsprechenden Server heruntergefahren und gingen dann mit geänderten Passwörtern und entsprechenden Reparaturen wieder online. Lediglich der Server brutus.apache.org wurde komplett ausgetauscht, denn dort hatten die Angreifer mehrere Stunden einen Root-Zugang.

Zu den Kommentaren springen
Meistgelesen
  1. IT-Freelancer
    Paradiesische Zustände
  2. Indiegames-Rundschau
    Killer trifft Gans
  3. Vision 5 und Epos 2 im Hands on
    Tolinos neue E-Book-Reader-Oberklasse ist gelungen
  4. Pixel 4 im Hands on
    Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
  5. IT-Probleme
    Serverausfall legt Produktion bei Porsche still
Anzeige
Top-Angebote
  1. 39,99€ (Release am 3. Dezember)
  2. (aktuell u. a. Corsair Glaive RGB Gaming-Maus für 32,99€, Microsoft Office 365 Home 1 Jahr für...
  3. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  4. (u. a. Star Wars Battlefront 2 für 9,49€, PSN Card 20 Euro für 18,99€)
Kommentarübersicht
Re: Danke der Apachefoundation für die Offenheit
SourceR 15. Apr 2010

Ich denke, das ist nicht all zu schlimm, ein Brute-Force dauert eine ganze weile, wenn...

Re: Na kein Wunder ...
SourceR 15. Apr 2010

Linux ist Benutzerfreundlich, ist nur eben ein wenig Wählerisch bei seinen Freunden^^ Ich...

Re: Kindersoftware?
Leser 14. Apr 2010

Bitte konzentriert den Artikel lesen und erst dann weiterlabern: Die Angreifer...

Re: SSH Login ... WebLogin?
Schnarchnase 14. Apr 2010

Bitte nicht fail2ban, das ist die denkbar ungünstigste Variante. Erstens wird das Skript...

Folgen Sie uns
       
Acer Predator Helios 700 - Hands on (Ifa 2019)

Was für ein skurriles Gerät: Golem.de schaut sich das Gaming-Notebook Predator Triton 700 von Acer an und probiert die Schiebetastatur aus.

Acer Predator Helios 700 - Hands on (Ifa 2019) Video aufrufen
Smarter Lautsprecher
Telekom Smart Speaker im Test: Der smarte Lautsprecher, der mit zwei Zungen spricht
Telekom Smart Speaker im Test
Der smarte Lautsprecher, der mit zwei Zungen spricht

Die Deutsche Telekom bietet derzeit den einzigen smarten Lautsprecher an, mit dem sich parallel zwei digitale Assistenten nutzen lassen. Der Magenta-Assistent lässt einiges zu wünschen übrig, aber die Parallelnutzung von Alexa funktioniert schon fast zu gut.
Ein Test von Ingo Pakalski

  1. Smarte Lautsprecher Amazon liegt nicht nur in Deutschland vor Google
  2. Pure Discovr Schrumpfender Alexa-Lautsprecher mit Akku wird teurer
  3. Bose Portable Home Speaker Lautsprecher mit Akku, Airplay 2, Alexa und Google Assistant
Filmkritik
Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise
Erneuerbare Energien
Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /