Aanvallers zijn op zondag 3 mei erin geslaagd om meer dan vijfhonderd servers van zoekfunctieprovider Algolia via een kwetsbaarheid in de software Salt over te nemen en met malware te infecteren, wat gevolgen had voor de dienstverlening aan klanten. Het bedrijf had een beveiligingsupdate voor Salt die op woensdag 29 april was uitgekomen niet geïnstalleerd. Naar aanleiding van het incident heeft Algolia besloten om patches voortaan sneller uit te rollen.
Algolia biedt verschillende oplossingen waarmee bedrijven en webshops hun website doorzoekbaar voor klanten en bezoekers kunnen maken. Voor het beheer van servers maakt Algolia gebruik van Salt (ook wel SaltStack genoemd). Het is een op Python gebaseerde, opensourceconfiguratiebeheertool. Op 29 april verscheen er een beveiligingsupdate voor twee kwetsbaarheden in Salt waardoor een aanvaller op afstand en zonder inloggegevens volledige controle over kwetsbare installaties kan krijgen. Algolia had deze updates op 3 mei nog niet uitgerold. Een dag eerder werden servers van het mobiele besturingssysteem LineageOS al via hetzelfde Salt-lek gecompromitteerd.
Via de gecompromitteerde Salt-installatie wisten aanvallers meer dan vijfhonderd servers van Algolia met malware te infecteren. Het ging om een cryptominer die de rekenkracht van de servers gebruikte voor het delven van cryptovaluta en een backdoor zodat de aanvallers toegang tot de machines behielden. De infectie zorgde er echter voor dat servers zichzelf uitschakelden. Ook was het niet mogelijk om op afstand op deze servers in te loggen.
Dit had impact op de zoekfunctionaliteit die Algolia biedt. Bij twee procent van de klanten duurde de veroorzaakte downtime langer dan vijf minuten en bij minder dan één procent langer dan tien minuten. Algolia heeft naar eigen zeggen 8500 klanten. Dit zou inhouden dat maximaal 250 klanten een aantal minuten geen zoekfunctionaliteit op hun website hadden.
Het bedrijf was uiteindelijk zeven uur bezig om alle besmette servers op te schonen en de situatie te herstellen. In een zeer gedetailleerde terugblik op het incident laat Algolia weten wat het gaat doen om herhaling in de toekomst te voorkomen. Zo wordt er aanvullende toegangscontrole toegevoegd, worden gedupeerde klanten vergoed en wordt er een proces ingesteld om beveiligingsupdates sneller op te merken en uit te rollen.
Deze posting is gelocked. Reageren is niet meer mogelijk.