L’attacco a “Fort Apache” di questi giorni interessa la Apache Software Foundation , che mantiene il progetto dell’omonimo server web. Gli hacker sono penetrati sfruttando un’ignota falla di tipo cross-site scripting (XSS), hanno installato un software ruba-password e ottenuto credenziali di “basso livello” appartenenti a sviluppatori Apache.
“Nessun codice sorgente è stato impattato in alcun modo”, assicura il vicepresidente della fondazione Philip Gollucci. Per penetrare dentro Apache i criminali hanno attaccato il software web di Atlassian , sviluppatrice di tool di tracking e collaborazione e fornitrice di Apache stessa. Oltre che della falla XSS, l’attacco è consistito nel brute-forcing della password di accesso grazie alla quale gli autori sono entrati nel server e hanno installato un trojan.
Il duplice risultato raggiunto dai criminali è stato il guadagnare l’accesso alla wiki Confluence e a Bugzilla , oltre che al server Minotaur.apache.org che ospita People.apache.org su cui sono registrati gli shell account degli sviluppatori Apache. Non che i criminali abbiano potuto combinare granché con i suddetti account, dice Apache, perché le informazioni contenute sui server compromessi erano di basso profilo e mancanti dei dati sulle falle del codice open source ospitati altrove.
L’attacco è cominciato il 6 aprile scorso ed è stato notato dagli amministratori 3 giorni dopo, quando già gli autori avevano rubato le credenziali d’accesso compromesse. Non è chiaro se l’obiettivo fosse colpire Apache o Atlassian, che oltre a fornire software alla prima impiega anche alcuni dei suoi sviluppatori. Sul proprio blog la società australiana riconosce le proprie responsabilità e chiede scusa dell’accaduto, frutto di “un grosso errore” di valutazione da non ripetersi più in futuro.
Alfonso Maruccia