هجوم معقّد يصيب خدمات Apache.org

الوقت المقدّر لقراءة هذا المقال: 4 دقيقة و 36 ثانية

هجوم معقّد يصيب خدمات Apache.org

أعلنت Apache Software Foundation (ASF) بأن عدداً  من خدماتها تعرضت لمحاولات اختراق معقّدة أدت في نهاية المطاف إلى اختراق أحد خوادمها كليّاً وآخر بشكل جزئي. عدد غير قليل من hash كلمات السر غير الآمنة تعرض للسرقة من أجهزة المنظمة.

بدأ الهجوم حسب التصريحات في 5 أبريل/نيسان عندما قام أحدهم بإنشاء صفحة خطأ وهمية في JIRA، وهو أحد حلول إدارة المشاريع المطوّر من قبل شركة تدعى Atlassian والذي يستخدم من قبل ASF. هذه الصفحة الدخيلة احتوت على رابط TinyURL مختصر، والذي إذا تم فتحه، يقوم باستغلال ثغرة XSS غير معلن عنها في JIRA الأمر الذي يسمح من خلاله بسرقة الكوكيز الخاصة بالـ session للمستخدمين المتصلين.

لما نراه من تفاصيل مثيرة حول هذا الاختراق سنقوم بعرض باقي التفاصيل.. تابعوا معنا

Philip Gollucci، نائب مدير المؤسسة المسؤول عن البنية التحتية للمنشأة أوضح قائلاً..

عندما تم استغلال هذه الثغرة ضد فريق المنشأة، العديد من مدرائنا قاموا بالضغط على هذا الرابط الخبيث. الأمر هذا أدى إلى انتهاك خصوصية جلسات عملهم، بما في ذلك صلاحياتهم الإدارية في JIRA.

كما أضاف بأنه في الوقت ذاته كانت صفحة تسجيل الدخول الخاصة بـ JIRA عرضة لهجوم “القوة الغاشمة” brute-force attack والذي يهدف إلى اكتشاف كلمات سر أخرى.

بعد الحصول على مجموعة من كلمات سر مدراء خاصة بالمشروع، قام المهاجمون بتحديد مسار يسمح بالكتابة فيه على السيرفر واستخدموه لتنفيذ سكربتات خبيثة. هذا الأمر مكنهم من تثبيت إضافة خاصة بتسجيل كلمات السر والحصول على المزيد من بيانات تسجيل الدخول لنظام JIRA.

إحدى كلمات السر هذه صدف أنها مطابقة لكلمة السر المحلّية الخاصة بحساب على brutus.apache.org, وكان لهذا الحساب صلاحيات sudo كاملة! بهذا تمكن المهاجمون من الدخول إلى brutus.apache.org والحصول على صلاحيات root كاملة على السيرفر. هذا السيرفر استضاف الملفات المثبتة الخاصة بـ JIRA, Confluence, و Bugzilla.

علاوة على ذلك، باستخدام cached SVN passwords وجدت على السيرفر ذو صلاحيات root، تمكن المهاجمون من الدخول في عدة حسابات shell ثانوية أخرى على minotaur.apache.org. هذا السيرفر، المعروف أيضاً بـ people.apache.org، يستضيف حسابات لجميع مطوري Apache وكان هدفاً لهجوم آخر في أغسطس/آب العام الماضي. لحسن الحظ، لم يتمكن المهاجمون من الحصول على امتيازات أكثر على هذا الخادم أيضاً.

ننصح مستخدمي Apache JIRA, Bugzilla و Confluence، الذين يعملون على السيرفرات المخترقة، بأن يقوموا بتغيير كلمات السر الخاصة بهم فوراً. مستخدمي JIRA بالتحديد، الذين قاموا بتسجيل الدخول في الفترة الممتدة بين 6 أبريل/نيسان و 9 أبريل/نيسان، يجب أن يعتبروا أن كلمات السر الخاصة بهم لم تعد آمنة على الإطلاق حيث أنهم قاموا بالدخول من خلال صفحة تسجيل الدخول المخترقة.

قام فريق Apache باتخاذ عدة إجراءات احتياطية لمنع المزيد من الهجمات المشابهة في المستقبل وردود الفعل التي ظهرت من مجتمع Apache حتى الآن إيجابية. معظم المستخدمين يهنئون المنظمة على صراحتها مع الإعلام عندما تظهر مثل هذه الحوادث.

لقراءة المزيد من المعلومات حول الخبر يمكن مراجعة الرابط، أو الإطلاع على الخبر الرسمي على موقع الشركة.


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.

  • فعلا خبر خطير ولكن ما يهم هو انه تعلموا من الخطأ
    و الحماية بيقولوا ما وضعت الا للإختراق