El proveedor de búsqueda Algolia revela un incidente de seguridad debido a la vulnerabilidad de Salt


Algolia

Imagen: Algolia

El servicio de búsqueda Algolia dijo que sufrió una violación de seguridad durante el fin de semana después de que los piratas informáticos explotaron una vulnerabilidad conocida en el computer software de configuración del servidor Salt para obtener acceso a su infraestructura.

La compañía dijo que los piratas informáticos instalaron una puerta trasera y un minero de criptomonedas en una pequeña cantidad de sus servidores, pero que el incidente no impactó sus operaciones de manera significativa.

Algolia, que proporciona una función de búsqueda bajo demanda para sitios web a gran escala (como Twitch, Hacker Information o Stripe), dijo que detectó el incidente casi inmediatamente después de que sucedió porque las alertas del servidor notificaron al personal que las funciones de búsqueda e indexación estaban disminuyendo para varios clientes

La compañía dijo que los ingenieros intervinieron para eliminar el malware, apagar los servidores afectados y restaurar el servicio a los clientes, la mayoría de los cuales sufrieron tiempos de inactividad que no duraron más de 10 minutos.

  • 15 grupos de más de 700 (~ 2%) se vieron afectados por un tiempo de inactividad de búsqueda de más de 5 minutos.
  • 6 grupos (menos del 1%) se vieron afectados por un tiempo de inactividad de búsqueda de más de 10 minutos.

«Al recuperar los servidores uno por uno, nuestra principal preocupación period evaluar con precisión cuál era la escala exacta del ataque. (…) Analizando las cargas útiles ejecutadas por el malware, concluimos que el único objetivo del ataque era minar criptomonedas, y no para recopilar, alterar, destruir o dañar datos «, Julien Lemoine, cofundador y director de tecnología de Algolia.

Los ataques a los servidores de Salt continúan

en un informe post mortem publicado el martes, Algolia dijo que el hack ocurrió el domingo 3 de mayo a las 3:12 am, hora de París.

El momento del ataque coincide con otras infracciones de seguridad informadas por LineageOS, Ghost, Digicert, Orquesta Xeny muchas otras compañías más pequeñas (a través de esto Hilo de GitHub)

Se cree que el ataque a Algolia fue llevado a cabo por los operadores de la botnet de minería de criptomonedas Kinsing, se cree que está detrás de todos los incidentes antes mencionados.

Una fuente de la comunidad de ciberseguridad le dijo a ZDNet el domingo que los operadores de la purple de bots de Kinsing fueron el primer actor de amenaza en armar dos vulnerabilidades reveladas la semana pasada en sal, una herramienta de configuración de servidor remoto utilizada en centros de datos, grandes redes corporativas y configuraciones en la nube.

Las dos vulnerabilidades. – CVE-2020-11651 (un bypass de autenticación) y CVE-2020-11652 (un recorrido de directorio) – permitieron al equipo de botnet Kinsing (H2Miner) automatizar ataques a gran escala y hacerse cargo de grandes grupos de servidores.

En individual, los operadores de Kinsing explotaron el error de omisión de autenticación para obtener acceso a los servidores maestros de Salt que quedaron expuestos en línea, donde instalaron una puerta trasera y luego implementaron malware de minería de criptomonedas en servidores esclavos conectados.

Los ataques de Kinsing comenzaron el sábado y aún continúan, aunque nuevos actores de amenazas también se han unido a los ataques.

Se espera que los ataques se amplifiquen en las próximas semanas, ya que varios usuarios han publicado un código de prueba de concepto de fácil acceso para explotar el problema de omisión de autenticación (CVE-2020-11651) (1, 2, 3, 4 4), bajando aún más la barra para que nuevos atacantes se unan al redil y lancen ataques.

SaltStack, la compañía detrás de las versiones comerciales y de código abierto del application Salt, parches lanzados la semana pasada y también hizo todo lo posible para advertir a los clientes sobre la necesidad de instalar los parches lo antes posible.

Esta semana, la comunidad de seguridad tiene Retrocedió los parches a versiones anteriores de Conclude-of-Lifestyle-Salt, y los investigadores de seguridad también publicaron un script de detección que verifica si los servidores de Salt han sido parcheados y si los parches se han instalado correctamente.

La semana pasada, F-Safe, la compañía que identificó y reportó las dos vulnerabilidades de Salt, dijo que un escaneo reveló que más de 6,000 servidores maestros de Salt quedan disponibles en Online, susceptibles a ataques. SaltStack y F-Protected recomiendan que las compañías muevan estos sistemas en redes locales o al menos los pongan detrás de un firewall con estrictas reglas de manage de acceso.





Enlace a la noticia primary