平素よりKuronekoServerのサービスをご利用いただきまして、ありがとうございます。
この度、組織内で使用しているプロキシサーバーが設定ミスにより侵害されていることが発覚しました。
侵害されたサーバー上で流れる通信はすべて暗号化(クライアントからバックエンド)されており、現時点で情報漏洩は確認されておりません。
影響
- 当組織が利用していたサーバーが侵害され、ログインアタックの踏み台として利用が確認された (2024/02/19 15:40~2024/02/20 18:57)
linode-01.kuroneko6423.com, 172.233.78.32 (AbuseIPDB) - 情報漏洩は確認されていない
経緯
日本標準時 (+09:00 JST)
- 2024/02/18 20:18 新しくプロキシサーバーを構築
- 2024/02/19 15:40 最初の不正なIPによるパスワード認証成功(*1)
- 2024/02/19 15:44 Panchanがインストールされる
- 2024/02/19 15:45 sshdがSIGKILLされる
- 2024/02/19 21:49 他のサーバーへのログインアタックがAbuseIPDBに初めて記録される
- 2024/02/20 14:56 クラウド事業者より不正利用の疑いがあるとの連絡
- 2024/02/20 15:43 インフラ担当が連絡を確認し、調査を開始
- 2024/02/20 18:43 侵害されたログを発見
- 同時刻、プロキシサーバーのクレデンシャルを失効
- 2024/02/20 18:57 該当サーバーを削除
- 2024/02/20 19:14 ネットワークを完全に遮断したのち、該当サーバーを復元し調査を再開
*1 侵害後にログが改ざんされた可能性あり
調査結果
- 不正なIPによりパスワード認証が成功していた
- PermitRootLogin, PasswordAuthenticationが有効になっていた
- ログインアタックを行うIPとしてAbuseIPDBに記録されていた
- パスワードは英数字と
.の8文字で構成されていた - Panchanと呼ばれるボットネット兼ワームがインストールされていた
- 認証成功後、インストールされたものと思われる
- ビットコインマイナーが作動していた
- インターネット上に存在するサーバーにログインアタックが仕掛けられていた
- ログが削除/改ざんされた形跡は見つけられなかった
- 侵害を受けたサーバーにはHAProxy、自宅サーバーと接続するためのVPNがインストールされていた
- HAProxyはL4レベルの転送(TLSの終端を行わない)のため、通信を盗み見ることは不可能であった
- 自宅サーバーのネットワークにもアクセスできたが、侵害された形跡はなかった
- 黒猫ちゃん個人の端末にはアクセスできなかった
対応
- 侵害を確認後、即座に全ての通信を遮断し、VPNの資格情報を無効化した
- 秘密鍵の侵害は確認されていないが、念のためローテートを行った
対策
- 全てのサーバーにおいてパスワード認証やrootログインを無効化し、fail2banなどのログインアタック対策を行う
- 全てのセキュリティログを安全な監視基盤に送信し、改ざんを検知できるようにする
- 組織内にCSIRTを設置し、原因究明や対策などを迅速にできるように配備する
- 組織内にSOCを設置し、継続的にサーバーのセキュリティチェックを行う
改めまして、このような事態になってしまったこと、利用者の皆様に深い心配をお掛けしたことを深くお詫び申し上げます。
また、この件に関しての問い合わせやご意見は全てサポートにお願いします。運営スタッフ個人を攻撃するようなことは絶対におやめください。
