Hetzner сообщил об обнаружении бэкдора в своих системах

в 16:18, , рубрики: Hetzner, взлом, вирусы, информационная безопасность, хостинг, метки: , , , ,

Только что Hetzner совершил массовую рассылку для всех клиентов выделенного хостинга, сообщая об обнаружении бэкдора в своей сети, и о том, что значительная часть данных пользователей могла быть скомпрометирована, в том числе вся информация, хранящаяся в веб-панели Robot (данные по кредитным картам, впрочем, не пострадали).

Согласно письму, зловред проник в сеть компании через дыру в системе мониторинга Nagios, и поражал запущенные процессы веб-сервера Apache и sshd (терминал), при этом не изменяя сами бинарники, что и позволило бреши столь долгое время находиться незамеченной. По словам техников, ничего подобного им раньше не попадалось.

Для оценки произошедшего была нанята отдельная секьюрити-компания, которая помогает местным администраторам разобраться в произошедшем, и полностью вычистить сеть от всех копий зловреда. Все компетентные органы были оповещены, расследование на данный момент еще не завершено.

Перевод письма-рассылки

Дорогой клиент,

В конце прошлой недели технические инженеры Hetzner обнаружили т.н. бэкдор в одной из наших внутренних систем мониторинга (Nagios).

Немедленно начатое расследование показало, что интерфейс администрирование для выделенных серверов (Robot) так же был скомпрометирован. Имеющаяся у нас на данный момент информация предполагает, что часть нашей базы данных по клиентам была скопирована извне.

Как следствие, мы сообщаем, что клиентская информация, хранившуюся в Robot, следует считать скомпрометированной.

Насколько мы знаем, зловредная программа, которую мы обнаружили, является неизвестной и ранее нигде не появлялась.

Зловредный код, примененный в бэкдоре, заражает исключительно RAM. Первичный анализ предполагает, что зловредный код непосредственно внедряется в запущенные процессы Apache и sshd. Таким образом, вирус не только не изменяет бинарные файлы сервисов, которые он поразил, но и не перезапускает их.

Благодаря этому, стандартная процедура, как, например, изучение чексумм или проверка при помощи утилиты rkhunter, таким образом, не способна выявить заражение.

Чтобы помочь нашим штатным администраторам, мы обратились за помощью к независимой компании по обеспечению безопасности, предоставив им детальный отчёт о случившемся. На данный момент анализ произошедшего еще не завершён.

Пароли для доступа в панель Robot хранятся в нашей БД в виде SHA256-хэша с солью. В качестве меры предосторожности, мы рекомендуем сменить ваши пароли в Robot.

Что касается кредитных кард — то мы храним лишь три последних номера карты, её тип (MasterCard, Visa, etc. — прим. пер), и дату её действия. Вся остальная информация хранится у нашего поставщика платёжных услуг, и связана с нашими системами через случайно сгенерированный номер карты. Таким образом, насколько мы можем судить, данные по кредитным картам скомпрометированы не были.

Технические инженеры Hetzner непрерывно работают над локализацией существующих брешей в защите, равно как и над предотвращением возникновения новых, чтобы обеспечить максимально возможную безопасность наших систем и инфраструктуры. Безопасность данных для нас очень важна. Для ускорения дальнейшего раследования, мы обратились в соответствующие правоохранительные органы.

Более того, мы постоянно находимся на связи с федеральным управлением криминальной полиции (Federal Criminal Police Office, BKA — прим. пер.).

Мы очень сожалеем о случившемся, и благодарим вас за понимание и доверие.

Для того, чтобы помочь вам с запросами по безопасности, мы разместили специальную страницу с вопросами и ответами — wiki.hetzner.de/index.php/Security_Issue/en.

(оригинал — pastebin.com/czHJDtif)

Автор: ksenobayt

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js