CERTsrapport/3.5.2020

From Programvareverkstedet

Log

Søndag 3. mai 2020 ble vi oppmerksomme på et angrep mot lommel som kompromiterte alle maskiner satt opp som salt-minions. Svakheten og angrepet er beskrevet her og her. I løpet av kort tid fjernet drift virusene og endret rotpassord på alle maskiner, den neste uka ble brukt på å diskutere skadeomfang og endring av brukeres passord. Salt-master ble skrudd av, PVV lever altså uten salt intill noen har mulighet til å skru det på en oppdatert maskin.

Utnyttet svakhet

Svakheten og angrepet er beskrevet her og her. Alle kjente sikkerhetshull er lukket.

Tiltak iverksatt

Tiltak gjort den første uka

  • Stanset bruken av salt midlertidig.
  • Drept og slettet skadeprogrammene.
  • Undersøkt endringer under /etc og /var inkludert crontabs.
  • Restartet de kompromiterte maskinene.
  • Byttet alle rotpassord.
  • Oppfordret medlemmer til å fase ut alle ukrypterte private nøkler.
  • Undersøkt prosesser og nettverkstrafikk (ps, netstat, tcpdump, debsums, …).
  • Varslet alle brukere og påkrevd endring av passord.
  • Gått over brannmurreglene.

Planlagte tiltak så snart campus åpner

  • Kjøre offline-sjekk av filsystemene på alle kompromiterte maskiner.
  • Vurdere å reinstallere maskinene.
  • Reinstallere og starte salt-master.

Kjent skade

Det virker som om angriperene kun var interessert i å grave etter kryptovalutta, sålangt virker ingenting ødelagt. Vi tar høyde for at all data er lekket, og behandler derfor angrepet som om alle passord, konfig filer og nøkler har lekket.

Retrieved from "https://wiki.pvv.ntnu.no/w/index.php?title=CERTsrapport/3.5.2020&oldid=5263"