Dokonano udanego włamania na jeden z serwerów wykorzystywanych w projekcie Apache.
Włamywacze wykorzystali serwer służący do zgłaszania i rozwiązywania błędów. Złosili oni nowe zagadnienie oznaczone symbolem INFRA-2591. W jego treści napisali, że mają problemy z przeglądaniem niektórych projektów na platformie JIRA. Następnie podali link do tinyurl.com, który przekierowywał na stronę wykorzystującą podatność na atak XSS (cross-site scripting). Gdy link został kliknięty przez kilku administratorów projektu Apache, ich ciasteczka sesyjne został przechwycone przez atakujących.
W tym samym czasie przeprowadzano atak typu brute-force mający na celu odgadnięcie hasła do jednego z kont w systemie JIRA. Gdy jedna z tych metod pozwoliła im się zalogować, wyłączyli notyfikacje dla projektu i zmienili ścieżkę, w której zapisywane były załączniki do zagadnień. Wybrano ścieżkę, która pozwalała na uruchamianie plików JSP. Dzięki temu tworząc zagadnienia i załączając do nich pliki JSP mogli je potem uruchamiać na serwerze. W ten sposób uzyskali dostęp do systemu plików oraz zainstalowali backdoor. Zainstalowany został także plik JAR zbierający loginy i hasła. By je pozyskać, atakujący zaczęli wysyłać e-maile informujące użytkowników o zresetowaniu haseł. Ci z kolei zaczęli logować się i je przywracać. W ten sposób hasła trafiły w ręce włamywaczy. Mając dostęp do systemu plików mieli oni bowiem dostęp jedynie do skrótów kryptograficznych haseł.
Posiadając hasła zaczęli je wypróbowywać. Okazało się, że jedno z nich pasuje do konta na serwerze brutus.apache.org i że posiada ono pełen dostęp administracyjny za pomocą sudo. Ponieważ na serwerze brutus postawione były usługi JIRA, Confluence i Bugzilla, włamywacze uzyskali do nich pełen dostęp. Natknęli się też na skeszowane dane uwierzytelniające niektórych kont SVN. Dzięki nim mogli zalogować się na serwer minotaur.apache.org (znany też jako people.apache.org), który jest głównym serwerem z kontami shellowymi. Włamywaczom nie udało się jednak podnieść uprawnień i mieli do dyspozycji jedynie konta o zwykłych uprawnieniach.
Gdy administratorzy zauważyli atak, przenieśli usługi JIRA i Bugzilla na maszynę thor.apache.org, Confluence jest nadal niedostępne. Co ciekawe, podatność XSS wykryta na pierwszym serwerze została zignorowana przez firmę hostingową i została wykorzystana do zaatakowania jej samej. Historia ta pokazuje jak sieciowi włamywacze wykorzystując błędy w zabezpieczeniach, a także polityce bezpieczeństwa byli w stanie przeprowadzić udany atak, a następnie stopniowo przejmować kolejne systemy.
