500 servers zoekfunctieprovider Algolia via Salt-lek overgenomen
Aanvallers zijn op zondag 3 mei erin geslaagd om meer dan vijfhonderd servers van zoekfunctieprovider Algolia via een kwetsbaarheid in de software Salt over te nemen en met malware te infecteren, wat gevolgen had voor de dienstverlening aan klanten. Het bedrijf had een beveiligingsupdate voor Salt die op woensdag 29 april was uitgekomen niet geïnstalleerd. Naar aanleiding van het incident heeft Algolia besloten om patches voortaan sneller uit te rollen.
Algolia biedt verschillende oplossingen waarmee bedrijven en webshops hun website doorzoekbaar voor klanten en bezoekers kunnen maken. Voor het beheer van servers maakt Algolia gebruik van Salt (ook wel SaltStack genoemd). Het is een op Python gebaseerde, opensourceconfiguratiebeheertool. Op 29 april verscheen er een beveiligingsupdate voor twee kwetsbaarheden in Salt waardoor een aanvaller op afstand en zonder inloggegevens volledige controle over kwetsbare installaties kan krijgen. Algolia had deze updates op 3 mei nog niet uitgerold. Een dag eerder werden servers van het mobiele besturingssysteem LineageOS al via hetzelfde Salt-lek gecompromitteerd.
Via de gecompromitteerde Salt-installatie wisten aanvallers meer dan vijfhonderd servers van Algolia met malware te infecteren. Het ging om een cryptominer die de rekenkracht van de servers gebruikte voor het delven van cryptovaluta en een backdoor zodat de aanvallers toegang tot de machines behielden. De infectie zorgde er echter voor dat servers zichzelf uitschakelden. Ook was het niet mogelijk om op afstand op deze servers in te loggen.
Dit had impact op de zoekfunctionaliteit die Algolia biedt. Bij twee procent van de klanten duurde de veroorzaakte downtime langer dan vijf minuten en bij minder dan één procent langer dan tien minuten. Algolia heeft naar eigen zeggen 8500 klanten. Dit zou inhouden dat maximaal 250 klanten een aantal minuten geen zoekfunctionaliteit op hun website hadden.
Het bedrijf was uiteindelijk zeven uur bezig om alle besmette servers op te schonen en de situatie te herstellen. In een zeer gedetailleerde terugblik op het incident laat Algolia weten wat het gaat doen om herhaling in de toekomst te voorkomen. Zo wordt er aanvullende toegangscontrole toegevoegd, worden gedupeerde klanten vergoed en wordt er een proces ingesteld om beveiligingsupdates sneller op te merken en uit te rollen.
Had natuurlijk nog steeds niet nodig moeten zijn, maar ik doe ze dit niet even na. Al was het maar omdat ik nog geen vijf servers heb staan.
Het ligt altijd aan MS, en die kunnen er niets van. Beheerders die het niet snappen. Dingen die zomaar aangepast worden. Iedere update die problemen veroorzaakt.
Maar blijkbaar hebben niet alleen Windows beheerders problemen. Dit laat duidelijk zien dat het gewoon hele andere problemen zijn.
Mooier voorbeeld kan je niet hebben.
Het ligt altijd aan MS, en die kunnen er niets van. Beheerders die het niet snappen. Dingen die zomaar aangepast worden. Iedere update die problemen veroorzaakt.
Maar blijkbaar hebben niet alleen Windows beheerders problemen. Dit laat duidelijk zien dat het gewoon hele andere problemen zijn.
Mooier voorbeeld kan je niet hebben.
Enne, wat heeft dit met Linux te maken? Salt werkt ook prima onder Windows.
Mooier voorbeeld kan je niet hebben.
Er zat hier een dom foutje in een beheersapplicatie (waarom hangt dat aan het publieke internet? doe dat eens niet!) en daar is in een paar dagen tijd misbruik van gemaakt en in een paar uur wat aan gedaan.
Dat is toch wat anders dan hele bedrijven die maanden op hun gat liggen en honderden miljoenen kwijt zijn aan herstel, terwijl er soms al maanden patches beschikbaar waren.
Een beetje of je een op tijd gebluste smeulende papierbak gelijkstelt aan het afbranden van een compleet bedrijventerrein. Er zit wel degelijk een schaalverschil tussen. En als beveiligingsprofessional moet je dat onderscheid kunnen maken.
Daarvoor heb je ook een configuratiebeheertool ….. oeps …..
Netjes dat ze aangepaste bestanden teruggezet hebben. De backup deed het nog. Een cryptominer en destructieve opzet.
Wat als alle bestanden wel weg waren gedaan en dan tevens eerst de backup doelgerciht onklaar gemaakt?
Genoemd zijn:
- De monitoring deed het niet goed
- privileged accountmanagement niet op orde. Vele acties en tevens de passwordless logins alleen met IP tabellen.
Geluk gehad ….
Enne, wat heeft dit met Linux te maken? Salt werkt ook prima onder Windows.
Nou, nee... Het werkt misschien onder Windows maar zeker niet 'prima'. Want daarvoor is de onderliggende basis die Windows aan applicaties biedt te zwak en brak. Nee, zoiets is toch echt een brug te ver voor een besturingssysteem voor lichte consumententoepassingen.
Zo zie je maar dat je echt onmiddellijk moet patchen als er een kritieke patch beschikbaar is. Ook in het weekend bewijst deze case. vereist wel stevige monitoring van CVE's met name voor windows omgeving want patches moeten daar overal vandaan komen,. Zit niet allemaal in 1 repository.
Het ligt altijd aan MS, en die kunnen er niets van. Beheerders die het niet snappen. Dingen die zomaar aangepast worden. Iedere update die problemen veroorzaakt.
Maar blijkbaar hebben niet alleen Windows beheerders problemen. Dit laat duidelijk zien dat het gewoon hele andere problemen zijn.
Mooier voorbeeld kan je niet
hebben.
Als je niet weet waar je over praat, hou dan je mond. Linux is veilig, want da's enkel alleen de kernel. Software die erom heen hangt heet distributie en is geen linux.
Stephan
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
