NewsBlur von Ransomware aufgrund eines Docker-Fehlers betroffen, aber stellt den Dienst in 10 Stunden wieder her

  • Der persönliche Newsreader NewsBlur war letzte Woche nach einer Datenpanne für mehrere Stunden außer Betrieb. (“newsblur start” von renaissancechambara ist lizenziert unter CC BY 2.0)

    Es stellt sich heraus, dass die kürzliche Geschichte über den persönlichen Newsreader NewsBlur, der letzte Woche nach einer Datenexposition für mehrere Stunden ausfiel, ein glückliches Ende hat: Der Besitzer behielt eine Originalkopie der Datenbank, die kompromittiert wurde, und stellte den Dienst innerhalb von 10 Stunden wieder her.

    Die eigentliche Offenlegung der Datenbank wurde durch ein hartnäckiges Problem mit Docker verursacht, ein Problem, das in der Linux-Gemeinschaft seit einigen Jahren ziemlich bekannt ist. Wenn Systemadministratoren Docker verwenden, um eine Datenbank auf einem Linux-Server zu containerisieren, fügt Docker offenbar eine “Erlauben-Regel” in iptables ein, wodurch die Datenbank für das öffentliche Internet geöffnet wird. Dies erfordert, dass Systemadministratoren die Konfigurationsdatei der unkomplizierten Firewall (UFW) auf dem Server neu konfigurieren und neue Regeln für Docker einfügen.

    Im Fall von NewsBlur wurde die Datenbank (etwa 250 Gigabyte) kompromittiert und ransomiert, während der RSS-Reader Docker zur Containerisierung einer MongoDB verwendete. NewsBlur-Gründer Samuel Clay sagte in einem Blog-Post, dass der Hacker in der Lage war, die Datenbank zu kopieren und das Original in etwa drei Stunden zu löschen.

    Clay wandte einige Best Practices an, die Sicherheitsprofis beachten sollten: Kurz bevor er auf Docker umstieg, fuhr er den ursprünglichen primären MongoDB-Cluster herunter, der während des Angriffs unberührt blieb. Sobald er sich des Problems bewusst war, nahm Clay den Snapshot der ursprünglichen MongoDB, stellte die Datenbank wieder her, flickte den Docker-Fehler und brachte den Dienst wieder zum Laufen.

    Es sind Beispiele wie der NewsBlur-Fall, die zeigen, warum Container-Sicherheit zu einem der am schnellsten wachsenden Bereiche in der Cybersicherheit geworden ist, sagte Ray Kelly, leitender Sicherheitsingenieur bei WhiteHat Security. Kelly sagte, dass Unternehmen in rasantem Tempo auf containerisierte Architekturen umsteigen, um Skalierbarkeit und Redundanz zu erreichen – und dabei oft die Auswirkungen auf die Sicherheit nicht berücksichtigen.

    “Jeder Container ist im Grunde ein eigenes Mini-OS und muss auf Sicherheitslücken wie Privilegien/Rollen, Angriffe auf der Anwendungsebene und in diesem Fall auf Netzwerk- und Firewall-Öffnungen überprüft werden”, erklärt Kelly. “Idealerweise werden diese Aufgaben vor dem Going Live erledigt. Leider wird die Sicherheit oft zu Gunsten von neuen Funktionen und schnellen Implementierungen hinten angestellt.”

    Andrew Barratt, Managing Principal, Solutions and Investigations bei Coalfire, fügte hinzu, dass mit zunehmender Komplexität der Architektur unserer Systeme, mit mehr Automatisierung, Containerisierung und Virtualisierung, es wichtig ist, keine Annahmen über die Sicherheitskonfigurationen zu treffen.

    “Ein aktives Testen hätte dies frühzeitig erkannt, wenn es durch eine erfahrene Gegner-Simulation oder höchstwahrscheinlich sogar durch eine traditionellere Architekturüberprüfung erfolgt wäre”, sagte Barratt. “Leider wurden die Tabellen fallen gelassen und die Daten waren nicht mehr vorhanden. Zumindest in diesem Fall war es nicht nötig, das Lösegeld zu zahlen.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com