1.5.5.2.4 XSS-Angriff auf Apache Issue Tracking System

Die gemeinnützige Apache Foundation (bekannt durch ihren gleichnamigen Webserver) verwendet zum Verwalten von Software-Problemen das Issue Tracking System JIRA von Atlassian. Im April 2010 wurde dieses System für einen XSSCross-Site Scripting-Angriff missbraucht, der hier zusammengefasst dargestellt wird (genauere Beschreibung auf Apache.org).

Der Angreifer legte einen neuen Eintrag an, in dem auf eine URLUniform Resource Locator verwiesen wird. Damit der Versuch Code einzuschleusen nicht gleich erkannt wurde, wurde hier zusätzlich ein Dienst zur Verkürzung von URLs (in diesem Fall tinyurl) verwendet, so dass nur diese verkürzte URL sichtbar war (Hinweis: Das Firefox AddOn Long URL Please löst verkürzte URLs standardmäßig auf, um deren wahren Zweck zu zeigen). Der JavaScript Code hatte den Zweck, die Cookies von Benutzern zu stehlen, wobei auch Administratoren des Apache-Projekts betroffen waren. Am selbem Tag unternahmen die Angreifer zudem einen Brute Force-Angriff, um das Passwort der Seite login.jsp zu erraten.

Eine dieser Angriffsmethoden war schließlich erfolgreich, so dass die Angreifer mit Hilfe der Administatorrechte nach einigen Schritten zahlreiche Login/Passwort-Kombinationen zur Verfügung hatten. Außerdem konnten sie in einen weiteren Server eindringen, bei dem ein Passwort ebenfalls funktionierte. Der Angriff wurde nach vier Tagen entdeckt, als viele Passwort-Rücksetzungsnachrichten generiert wurden, mit denen weitere Benutzer zu Logins angeregt werden sollten.

Bei Apache waren die Passwörter nicht im Klartext gespeichert, sondern (so wie es sein sollte) als Passwort-Hashes, so dass die Angreifer trotz des erfolgreichen Eindringens nicht die Passwörter im Klartext hatten.

Zwei Tage nach diesem Angriff wurde die Methode von den Angreifern auch erfolgreich bei Atlassian angewendet.

Es soll positiv erwähnt werden, dass die Situation von beiden Organisationen klar dargestellt wurde und auch die Schlußfolgerungen öffentlich gemacht wurden.