Compromission d’une machine virtuelle opérée par Migale
Le 13 février dernier, nous avons été alerté par Renater – via le service « Sécurité des Systèmes d’Information » (SSI) INRAE- d’une possible activité malveillante provenant d’une adresse IP assignée à une machine virtuelle opérée par Migale. Nous avons immédiatement éteint cette machine et procédé, sous la direction de la SSI, à son audit.
Voici les résultats de l’audit mené par le service SSI INRAE
Compromission d’un serveur INRAE exposé sur l’internet public
En date du 13 février 2023, la cellule de veille et d’alerte du CERT Renater, nous a transmis une demande de support pour une probable infection d’un ordinateur sur notre réseau via le logiciel malveillant Raccoon Stealer.
Un serveur web et de visualisation de données INRAE ouvert sur l’internet public, contenait des erreurs de configuration de sécurité, il a été utilisé pour communiquer avec des serveurs distants hébergeant du contenu malveillant.
Les actions de collecte, d’analyse et de remédiation ont été opéré, elles nous ont permis de qualifier l’impact à un niveau limité pour l’INRAE et ses partenaires.
Quel impact pour vos données ?
L’analyse n’a pas montré de transfert massif de données ou de connexion vers d’autres serveurs de la plateforme. La machine n’aurait servi que pour servir d’inetremdiaire vers des serveurs externes. Il n’y a donc a priori pas d’impact sur les données utilisateurs.
Faut-il changer votre mot de passe, votre compte est-il compromis ?
Seules les personnes s’étant connectées sur la machine compromise (elles ont été contactées directement) doivent considérer leur mot de passe comme compromis. Il n’y a pas d’action particulière à prendre pour les autres utilisateurs de Migale.
Quelles actions allons-nous prendre pour que cela ne se reproduise plus ?
Cette compromission concerne une machine virtuelle hébérgeant une application web en cours de développement dont l’administration était en partie déléguée à des utilisateurs. L’analyse des causes de la compromission a montré des erreurs de configuration et de sécurité sur cette machine. Nous allons faire évoluer nos procédures de mise à disposition de machines virtuelles pour éviter qu’une telle erreur se produise à nouveau.
Compromise of a virtual machine operated by Migale
On February 13th, we were alerted by Renater - via the INRAE “Information Systems Security” (ISS) service - of a possible malicious activity coming from an IP address assigned to a virtual machine operated by Migale. We immediately shut down this machine and proceeded, under the direction of the SSI, to its audit.
Here are the results of the audit conducted by the SSI INRAE service
Compromise of an INRAE server exposed on the public internet
On February 13, 2023, the CERT Renater monitoring and alert unit sent us a support request for a probable infection of a computer on our network via the Raccoon Stealer malware.
An INRAE web and data visualization server open on the public internet, contained security configuration errors, it was used to communicate with remote servers hosting malicious content.
The actions of collection, analysis and remediation were operated, they allowed us to qualify the impact at a limited level for INRAE and its partners.
What impact for your data?
The analysis did not show any massive data transfer or connection to other servers of the platform. The machine would have been used only as an intermediary to external servers. There is therefore no impact on user data.
Do you need to change your password, is your account compromised?
Only people who have logged on to the compromised machine (they have been contacted directly) should consider their password as compromised. There is no specific action to take for other Migale users.
What actions will we take to ensure this does not happen again?
This compromise concerns a virtual machine hosting a web application under development whose administration was partially delegated to users. The analysis of the causes of the compromise showed configuration and security errors on this machine. We are going to change our procedures for the provision of virtual machines to avoid such an error occurring again.