Хронология взлома выглядит следующим образом: 5 апреля злоумышленники создали в сервисе осмысленное уведомление об ошибке "INFRA-259", пожаловавшись на проблемы с открытием некоторых страниц на сайтах Apache и приложили ссылку, демонстрирующую суть проблемы и указывающую на страницу, на которую был добавлен JavaScript-код, осуществляющий перехват сессионных cookie путем XSS-атаки. Несколько разработчиков проекта ничего не подозревая перешли по ссылке и в руках у злоумышленников оказались данные для получения административного доступа в систему трекинга ошибок JIRA. Одновременно атакующие предприняли "brute force" атаку по подбору простых паролей на странице login.jsp.

Получив права администратора сервиса JIRA, злоумышленники отключили систему отправки уведомлений и изменили пути для загрузки дополнений к сообщениям об ошибках. Новый путь был перенаправлен на директорию, допускающую выполнение JSP-файлов. Соответственно загрузив такой файл под видом приложения к тикету, злоумышленникам удалось выполнить свой код на сервере, что позволило им скопировать содержимое служебных файлов, в числе которых оказались домашние каталоги пользователей и файлы с хэшами паролей. После этого злоумышленники оставили себе лазейку (backdoor) для получения доступа в будущем.

Утром 9 апреля злоумышленники скопировали на сервер JAR-файл, предназначенный для сбора открытых паролей пользователей, вводимых ими через web-форму аутентификации и направили к разработчикам от имени администраторов проекта запрос на смену паролей, указав в письме временный пароль для входа. Многие разработчики, решив, что возникла проблема с сервисом, последовали совету, вошли в систему под предложенным временным паролем и поменяли пароль на свой настоящий пароль, используемый и в других сервисах Apache.

Перехваченные пароли позволили злоумышленникам получить параметры входа на сервер brutus.apache.org, на котором один из перехваченных аккаунтов имел полный доступ к выполнению команды sudo, дающей право запуска команд с root-правами. На данном сервере…