CERTsrapport/3.5.2020

From Programvareverkstedet
Jump to: navigation, search

Log

Søndag 3. mai 2020 ble vi oppmerksomme på et angrep mot lommel som kompromiterte alle maskiner satt opp som salt-minions. Svakheten og angrepet er beskrevet her og her. I løpet av kort tid fjernet drift virusene og endret rotpassord på alle maskiner, den neste uka ble brukt på å diskutere skadeomfang og endring av brukeres passord. Salt-master ble skrudd av, PVV lever altså uten salt intill noen har mulighet til å skru det på en oppdatert maskin.

Utnyttet svakhet

Svakheten og angrepet er beskrevet her og her. Alle kjente sikkerhetshull er lukket.

Tiltak iverksatt

Tiltak gjort den første uka

  • Stanset bruken av salt midlertidig.
  • Drept og slettet skadeprogrammene.
  • Undersøkt endringer under /etc og /var inkludert crontabs.
  • Restartet de kompromiterte maskinene.
  • Byttet alle rotpassord.
  • Oppfordret medlemmer til å fase ut alle ukrypterte private nøkler.
  • Undersøkt prosesser og nettverkstrafikk (ps, netstat, tcpdump, debsums, …).
  • Varslet alle brukere og påkrevd endring av passord.
  • Gått over brannmurreglene.

Planlagte tiltak så snart campus åpner

  • Kjøre offline-sjekk av filsystemene på alle kompromiterte maskiner.
  • Vurdere å reinstallere maskinene.
  • Reinstallere og starte salt-master.

Kjent skade

Det virker som om angriperene kun var interessert i å grave etter kryptovalutta, sålangt virker ingenting ødelagt. Vi tar høyde for at all data er lekket, og behandler derfor angrepet som om alle passord, konfig filer og nøkler har lekket.