A magyar oldalakon először a BuheraBlog már tegnap beszámolt arról, hogy április elején sikeres célzott támadást hajtottak végre az Apache Software Foundation ellen, s az Ubuntu Linuxot futtató, hibajegykezelést végző szerverről jelszavakat loptak el. Az alapítvány közleménye szerint azok jelszavai kompromittálódhattak, akik az Apache JIRA, Bugzilla, illetve Confluence szolgáltatásainak regisztrált felhasználói. Philip Gollucci, az Apache infrastruktúráért felelős alelnöke kijelentette, hogy a forráskódok egyetlen eleme sem érintett. Azt is közzétették, hogy bár a jelszavakat kódolt formában tárolták, az ún. szótármódszerrel ezek feltörhetőek, ezért az érintett szolgáltatások felhasználóit arra kérik, hogy cseréljenek jelszót.

„A támadás több szinten zajlott, és több kisebb problémát felhasználva bontakozott ki. Egyrészt egy hibajegyhez felvett rövidített URL-en keresztül egy apache.org-on elhelyezett reflektív XSS-kódot tartalmazó oldalra sikerült irányítani több adminisztrátort, akiknek munkamenet-azonosítóit ellophatták. Emellett brute force támadást intéztek a JIRA adminisztrátori loginfelületével szemben, ami legalább egy esetben szintén sikerrel járt. Az adminisztrátori felületen keresztül az értesítési beállításokat, valamint a csatolt fájlok tárolási útvonalát megváltoztatva ezután új hibajegyeket hoztak létre, melyekhez speciális JSP és JAR fájlokat csatoltak, melyekkel feltérképezhették az érintett szerver fájlrendszerét, és úgy módosíthatták a loginalkalmazást, hogy az naplózni tudta az április 6-9. között bejelentkezett felhasználók jelszavait. A megszerzett jelszavak közül az egyik egy sudo-képes hely felhasználó jelszava is volt egyben, így a brutus.apache.org szerver fölött a támadók korlátlan hatalmat szereztek” – írja a BuheraBlogon a hibát elemezve buherator.