image

500 servers zoekfunctieprovider Algolia via Salt-lek overgenomen

woensdag 6 mei 2020, 16:44 door Redactie, 8 reacties

Aanvallers zijn op zondag 3 mei erin geslaagd om meer dan vijfhonderd servers van zoekfunctieprovider Algolia via een kwetsbaarheid in de software Salt over te nemen en met malware te infecteren, wat gevolgen had voor de dienstverlening aan klanten. Het bedrijf had een beveiligingsupdate voor Salt die op woensdag 29 april was uitgekomen niet geïnstalleerd. Naar aanleiding van het incident heeft Algolia besloten om patches voortaan sneller uit te rollen.

Algolia biedt verschillende oplossingen waarmee bedrijven en webshops hun website doorzoekbaar voor klanten en bezoekers kunnen maken. Voor het beheer van servers maakt Algolia gebruik van Salt (ook wel SaltStack genoemd). Het is een op Python gebaseerde, opensourceconfiguratiebeheertool. Op 29 april verscheen er een beveiligingsupdate voor twee kwetsbaarheden in Salt waardoor een aanvaller op afstand en zonder inloggegevens volledige controle over kwetsbare installaties kan krijgen. Algolia had deze updates op 3 mei nog niet uitgerold. Een dag eerder werden servers van het mobiele besturingssysteem LineageOS al via hetzelfde Salt-lek gecompromitteerd.

Via de gecompromitteerde Salt-installatie wisten aanvallers meer dan vijfhonderd servers van Algolia met malware te infecteren. Het ging om een cryptominer die de rekenkracht van de servers gebruikte voor het delven van cryptovaluta en een backdoor zodat de aanvallers toegang tot de machines behielden. De infectie zorgde er echter voor dat servers zichzelf uitschakelden. Ook was het niet mogelijk om op afstand op deze servers in te loggen.

Dit had impact op de zoekfunctionaliteit die Algolia biedt. Bij twee procent van de klanten duurde de veroorzaakte downtime langer dan vijf minuten en bij minder dan één procent langer dan tien minuten. Algolia heeft naar eigen zeggen 8500 klanten. Dit zou inhouden dat maximaal 250 klanten een aantal minuten geen zoekfunctionaliteit op hun website hadden.

Het bedrijf was uiteindelijk zeven uur bezig om alle besmette servers op te schonen en de situatie te herstellen. In een zeer gedetailleerde terugblik op het incident laat Algolia weten wat het gaat doen om herhaling in de toekomst te voorkomen. Zo wordt er aanvullende toegangscontrole toegevoegd, worden gedupeerde klanten vergoed en wordt er een proces ingesteld om beveiligingsupdates sneller op te merken en uit te rollen.

Reacties (8)
06-05-2020, 17:23 door Anoniem
500 servers, zeven uur nodig om de rommel op te ruimen.

Had natuurlijk nog steeds niet nodig moeten zijn, maar ik doe ze dit niet even na. Al was het maar omdat ik nog geen vijf servers heb staan.
06-05-2020, 17:31 door Anoniem
Maar ik hoor altijd dat Linux en opensource zo veilig is.
Het ligt altijd aan MS, en die kunnen er niets van. Beheerders die het niet snappen. Dingen die zomaar aangepast worden. Iedere update die problemen veroorzaakt.

Maar blijkbaar hebben niet alleen Windows beheerders problemen. Dit laat duidelijk zien dat het gewoon hele andere problemen zijn.
Mooier voorbeeld kan je niet hebben.
06-05-2020, 18:27 door Anoniem
Door Anoniem: Maar ik hoor altijd dat Linux en opensource zo veilig is.
Het ligt altijd aan MS, en die kunnen er niets van. Beheerders die het niet snappen. Dingen die zomaar aangepast worden. Iedere update die problemen veroorzaakt.

Maar blijkbaar hebben niet alleen Windows beheerders problemen. Dit laat duidelijk zien dat het gewoon hele andere problemen zijn.
Mooier voorbeeld kan je niet hebben.

Enne, wat heeft dit met Linux te maken? Salt werkt ook prima onder Windows.
06-05-2020, 19:58 door Anoniem
Door Anoniem: Maar ik hoor altijd dat Linux en opensource zo veilig is.
Dat is te kort door de bocht en dat weet je best.

Maar blijkbaar hebben niet alleen Windows beheerders problemen.
Dat klopt.

Dit laat duidelijk zien dat het gewoon hele andere problemen zijn.
Mooier voorbeeld kan je niet hebben.
Je gevolgtrekking slaat nergens op.

Er zat hier een dom foutje in een beheersapplicatie (waarom hangt dat aan het publieke internet? doe dat eens niet!) en daar is in een paar dagen tijd misbruik van gemaakt en in een paar uur wat aan gedaan.

Dat is toch wat anders dan hele bedrijven die maanden op hun gat liggen en honderden miljoenen kwijt zijn aan herstel, terwijl er soms al maanden patches beschikbaar waren.

Een beetje of je een op tijd gebluste smeulende papierbak gelijkstelt aan het afbranden van een compleet bedrijventerrein. Er zit wel degelijk een schaalverschil tussen. En als beveiligingsprofessional moet je dat onderscheid kunnen maken.
06-05-2020, 21:05 door karma4
Netjes dat ze de software over alle machines opnieuw geïnstalleerd hebben.
Daarvoor heb je ook een configuratiebeheertool ….. oeps …..

Netjes dat ze aangepaste bestanden teruggezet hebben. De backup deed het nog. Een cryptominer en destructieve opzet.
Wat als alle bestanden wel weg waren gedaan en dan tevens eerst de backup doelgerciht onklaar gemaakt?
Genoemd zijn:
- De monitoring deed het niet goed
- privileged accountmanagement niet op orde. Vele acties en tevens de passwordless logins alleen met IP tabellen.
Geluk gehad ….
07-05-2020, 08:43 door The FOSS - Bijgewerkt: 07-05-2020, 08:43
Door Anoniem:
Door Anoniem: ... Linux ... Windows ...

Enne, wat heeft dit met Linux te maken? Salt werkt ook prima onder Windows.

Nou, nee... Het werkt misschien onder Windows maar zeker niet 'prima'. Want daarvoor is de onderliggende basis die Windows aan applicaties biedt te zwak en brak. Nee, zoiets is toch echt een brug te ver voor een besturingssysteem voor lichte consumententoepassingen.
07-05-2020, 09:04 door souplost
Ik heb de gedetailleerde terugblik gelzen. Rapportage ziet er transparant uit. Ze vertellen alleen niet wat voor infrastructuur ze hebben. Sterk staaltje recovery management. Alle servers die contact hebben gehad met SaltStack gaan nog opnieuw geinstalleerd worden. Een voorbeeld voor anderen. Waar de SLA geraakt is gaat vergoed worden.
Zo zie je maar dat je echt onmiddellijk moet patchen als er een kritieke patch beschikbaar is. Ook in het weekend bewijst deze case. vereist wel stevige monitoring van CVE's met name voor windows omgeving want patches moeten daar overal vandaan komen,. Zit niet allemaal in 1 repository.
11-05-2020, 13:40 door Anoniem
Door Anoniem: Maar ik hoor altijd dat Linux en opensource zo veilig is.
Het ligt altijd aan MS, en die kunnen er niets van. Beheerders die het niet snappen. Dingen die zomaar aangepast worden. Iedere update die problemen veroorzaakt.

Maar blijkbaar hebben niet alleen Windows beheerders problemen. Dit laat duidelijk zien dat het gewoon hele andere problemen zijn.
Mooier voorbeeld kan je niet
hebben.

Als je niet weet waar je over praat, hou dan je mond. Linux is veilig, want da's enkel alleen de kernel. Software die erom heen hangt heet distributie en is geen linux.

Stephan
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.