Администраторы Apache Software Foundation представили на суд публики анализ
причин появления уязвимости в системе безопасности, из-за которой в этот
понедельник веб-сайт популярного открытого сервера был на короткое время
отключен от Сети. Согласно данным анализа, главной причиной взлома стало наличие
уязвимостей в системе управления ключами SSH.
Администраторы пишут, что хотя ни в какой момент времени риска для
репозиториев с кодами, загрузок и самих пользователей не было, наличие
подробного разбора причин случившегося поможет другим поучиться на допущенных
ошибках и сделать Интернет лучше.
Атака началась с компрометации apachecon.com – сайта, принадлежащего
компании, занимающейся организацией и проведением конференции ApacheCon. Логи,
содержащие данные о подлинных причинах взлома, были уничтожены, однако эксперты
выдвинули предположение, что нападавшие применили эксплоиты для одной или
нескольких локальных уязвимостей в ядре Linux, пропатченных Red Hat за неделю до
взлома. На момент проведения атаки эти патчи еще не были установлены.
Имея непривилегированный пользовательский аккаунт, нападавшие добавили в
корни каталогов с документами на нескольких веб-сайтах Apache CGI-скрипты,
которые при последующих операциях резервного копирования были скопированы на
сервер Apache Software Foundation и стали видимыми всему остальному миру. Эти
скрипты, позволившие хакерам получить удаленные шеллы, выполнялись за счет
использования сервером Apache опции ExecCGI.
Авторы расследования отмечают, что конфигурация использования SSH-ключей
оставляла желать много лучшего, поскольку их применение не было надлежащим
образом ограничено.
После взлома администраторы создали новые SSH-ключи с минимальной длиной
ключа 4096 бит и сделали обязательным использование отдельных ключей для каждого
из хостов, выполняющих резервное копирование. Кроме того, отныне обязательным
стало использование строки from="" and command="", а соединение с сервером
разрешено только машинам, делающим резервные копии, а пользователи с повышенным
уровнем привилегий теперь обязаны использовать одноразовые пароли. Помимо этого,
рассматривается возможность отказа от поддержки CGI на большинстве веб-сайтов.
