fbpx
ActualitésHigh TechSécurité

Algolia révèle un incident de sécurité en raison de la vulnérabilité de Salt

Le service de recherche Algolia a déclaré avoir subi une faille de sécurité ce week-end après que des pirates informatiques ont exploité une vulnérabilité bien connue du logiciel de configuration du serveur Salt pour accéder à son infrastructure.

La société a déclaré que les pirates avaient installé une porte dérobée et un mineur de crypto-monnaie sur un petit nombre de ses serveurs, mais que l’incident n’avait pas eu d’impact significatif sur ses opérations.

Algolia, qui fournit une fonction de recherche à la demande pour les sites Web à grande échelle (tels que Twitch, Hacker News ou Stripe), a déclaré avoir détecté l’incident presque immédiatement après qu’il se soit produit, car le serveur avertit le personnel que les fonctions de recherche et d’indexation étaient en baisse. pour un certain nombre de clients.

La société a déclaré que les ingénieurs sont intervenus pour supprimer le malware, fermer les serveurs impactés et restaurer le service aux clients, dont la plupart ont subi des temps d’arrêt qui n’ont pas duré plus de 10 minutes.

  • 15 clusters sur plus de 700 (~ 2%) ont été impactés par un temps d’arrêt de recherche supérieur à 5 minutes.
  • 6 clusters (moins de 1%) ont été impactés par un temps d’arrêt de recherche supérieur à 10 minutes.

« Lors de la récupération des serveurs un par un, notre principale préoccupation était d’évaluer avec précision l’ampleur exacte de l’attaque. […] Analysant les charges utiles exécutées par le malware, nous avons conclu que le seul objectif de l’attaque était de miner crypto-monnaies, et de ne pas collecter, altérer, détruire ou endommager les données « , Julien Lemoine, Co-fondateur & CTO chez Algolia.

Les attaques contre les serveurs Salt continuent

Dans un rapport d’autopsie publié mardi, Algolia a déclaré que le piratage avait eu lieu le dimanche 3 mai à 3 h 12, heure de Paris.

Le moment de l’attaque correspond à d’autres failles de sécurité signalées par LineageOS, Ghost, Digicert, Xen Orchestra et de nombreuses autres petites entreprises (via ce fil GitHub).

L’attaque contre Algolia aurait été menée par les opérateurs du botnet minier de crypto-monnaie de Kinsing, qui serait à l’origine de tous les incidents susmentionnés.

Une source de la communauté de la cybersécurité a déclaré dimanche que les opérateurs du botnet de Kinsing étaient le premier acteur de la menace à armer deux vulnérabilités révélées la semaine dernière dans Salt, un outil de configuration de serveur distant utilisé dans les centres de données, les grands réseaux d’entreprise et le cloud configurations.

Les deux vulnérabilités – CVE-2020-11651 (un contournement d’authentification) et CVE-2020-11652 (une traversée de répertoire) – ont permis à l’équipe de botnet Kinsing (H2Miner) d’automatiser des attaques à grande échelle et de prendre en charge de grands clusters de serveurs.

En particulier, les opérateurs de Kinsing ont exploité le bogue de contournement d’authentification pour accéder aux serveurs maîtres Salt laissés exposés en ligne, où ils ont installé une porte dérobée, puis déployé des logiciels malveillants d’exploration de crypto-monnaie sur des serveurs esclaves connectés.

Les attaques de Kinsing ont commencé samedi, et elles sont toujours en cours, bien que de nouveaux acteurs de la menace se soient également joints aux attaques.

Les attaques devraient s’intensifier dans les semaines à venir, car un code de validation de principe facilement accessible pour exploiter le problème de contournement de l’authentification (CVE-2020-11651) a été publié sur GitHub par plusieurs utilisateurs [1, 2, 3, 4], ce qui réduit la barre encore plus loin pour que de nouveaux attaquants rejoignent le pli et lancent des attaques.

SaltStack, la société derrière les versions commerciales et open-source du logiciel Salt, a publié des correctifs la semaine dernière et a également fait de son mieux pour avertir les clients de la nécessité d’installer les correctifs dès que possible.

Cette semaine, la communauté de la sécurité a rétroporté les correctifs vers les anciennes versions de Salt en fin de vie, et les chercheurs en sécurité ont également publié un script de détection qui vérifie si les serveurs Salt ont été corrigés et si les correctifs ont été installés correctement.

La semaine dernière, F-Secure, la société qui a identifié et signalé les deux vulnérabilités de Salt, a déclaré qu’une analyse avait révélé plus de 6 000 serveurs maîtres Salt laissés disponibles sur Internet, susceptibles d’être attaqués. SaltStack et F-Secure recommandent aux entreprises de déplacer ces systèmes sur des réseaux locaux ou au moins de les placer derrière un pare-feu avec des règles de contrôle d’accès strictes.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page