Subreg/Gransy je pod útokem, většina jeho služeb nefunguje

14. 9. 2020 10:59:05

Doménový registrátor Subreg/Gransy je pod útokem, většina jeho služeb nefunguje (lupa.cz)

Doménový registrátor Subreg (společnost Gransy) se potýká s útokem na svou infrastrukturu. Momentálně jsou nedostupné weby subreg.cz i gransy.com a nefungují ani další služby – zákazníci například nemají přístup k doménám. Firma problém potvrdila na své facebookové stránce.

14. 9. 2020 10:59:05

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463333

Mirek

(61 hodnocení)

14. 9. 2020 11:00:04

Sice u nich nejsem, ale i tak jim držím palce a hlavně ať to není to co se naznačuje v článku.

14. 9. 2020 11:00:04

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463332

Karel Benáček

(37 hodnocení)

14. 9. 2020 11:07:23

10:25 – Subreg potvrdil, že útočník zašifroval důležité soubory, které jsou potřeba k fungování jeho služeb.

Dnes rano mezi 7-8h doslo k vysoce sofistikovanemu utoku na nasi infrastrukturu.

Utocnik provedl zasifrovani souboru pro funkcnost dulezitych sluzeb a nektere sluzby diky tomu nejedou vubec, nebo nefunguji jak maji.

Rozsah skod zatim zjistujeme s plnym nasazenim vsech nasich pracovniku, ale nedokazeme nyni zjistit u vsech sluzeb, v jakem jsou stavu, nebot vetsina serveru jsou pro nas bez online pristupu a problem resime primo na miste v datacentrech.

Predbezne zatim vime, ze zalohy noveho hostingu + data zakazniku emailovych sluzeb nebyla zasifrovana a jsou tedy v poradku. Dalsi informace zjistujeme.

Oprava vyzaduje cistou reinstalaci a kompletni kontrolu vsech serveru, proto predpokladame bohuzel vypadek casove rozsahlejsiho charakteru.

Co se tyce uzivatelskych uctu a domenovych informaci na subregu. Subreg vyuziva pro uzivatele silnou hashovaci funkci, tedy hesla by nemela byt prolomitelna. Informace ktere nase databaze obsahuje neobsahuji ani zadne autorizacni informace k domenam. Logy v komunikaci s registry maji veskere hesla hashovane.

Nicmene zatim nemame zadne indicie, ze by databaze byla zneuzita ci odcizena.

Jakmile budeme mit dalsi informace budeme Vas informovat.

Jan Horak
CEO, Gransy

14. 9. 2020 11:07:23

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463331

Vladimír Pilný

(62 hodnocení)

14. 9. 2020 11:07:55

Pár informací je tady:

https://www.facebook.com/GHosting.cz/posts/3935656746450000

https://www.facebook.com/station.cz/posts/10159248280491977

Subreg hacked - Flame Hall - Geekforum.cz

To to trvalo, než se to tady objevilo.. :D

14. 9. 2020 11:07:55

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463330

node

(5 hodnocení)

14. 9. 2020 11:29:30

pametam si ked som si dal nainstalovat VPSko na dopyt od tunajsieho sysadmina, kvoli zabezpeceniu, a po par dnoch mi ho hackli cez nejaky bug v PHP pri spracuvani POST requestov. Clovek aby sa bal pomali otvorit vobec dvere z baraku :D

mozno konkurencia videla ze gransy ma najrychelsi anycast a dozvedeli sa ze pripravuje super bombasticky novy produkt tak im chcu skazit meno pred koncom roka :D

14. 9. 2020 11:29:30

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463329

TomasX

(4 hodnocení)

14. 9. 2020 12:00:13

to není pěkné slyšet, správná infrastruktura nedovolí něco takového udělat, aspoň mají příležitost se nad tím více zamyslet. Je škoda, že i takhle velké společnosti to podceňují. Jen z jejich prohlášení mi jde mráz po zádech (online zálohy, žádné DR, únik hesel a databází, přístup útočníka k jejich serverům). Doufám, že i pro další to bude inspirace a budu rád, když vydají v budoucnu i nějakou podrobnější analýzu.

14. 9. 2020 12:00:13

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463328

Vladimír Pilný

(62 hodnocení)

14. 9. 2020 12:10:13

Akorát jsem tweetnul: https://twitter.com/tele3/status/1305448639712591878

TELE3 tam má 4 servery u nich.

14. 9. 2020 12:10:13

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463327

Smazaný účet hvLPwPN09D

(3 hodnocení)

14. 9. 2020 12:26:46

Kdyby jen TELE3, část O2 nejede, nám taky nic nejede.

14. 9. 2020 12:26:46

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463326

TomasX

(4 hodnocení)

14. 9. 2020 13:09:17

o2 si to ale nejspíš způsobilo samo :)

14. 9. 2020 13:09:17

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463325

Vladimír Pilný

(62 hodnocení)

14. 9. 2020 15:05:18

UPDATE 15:00

1, IMAP data (emaily) mame k dispozici, nicmene cely mailovy reseni se instaluje na cisto, na cemz nasi admini intenzivne pracuji

2, Data hostingu Station jsou nedotcene

3, Subreg System jako takovy je nedotceny, jen byla vynucena reinstalace serveru, coz vyzaduje mnoho navazujici konfigurace, kterou aktualne vyvojovy tym dela.

Zatim bohuzel vice informaci poskytnout nemuzeme, pracujeme na tom vsemi silami.

Dekujeme za pochopeni.

14. 9. 2020 15:05:18

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463324

Jiří Pomazal

14. 9. 2020 15:51:35

Trochu nás to také zasáhlo (používáme API pro správu domén).

Tohle se teď může s tát komukoli. Útoky podobného typu neuvěřitelně "zlevňují" díky stále větší automatizaci.

Jestli je ale pravda tohle (viz diskuze pod článkem ohledně provozování PHP 5.4):

Doménový registrátor Subreg/Gransy je pod útokem, většina jeho služeb nefunguje…

Tak je to velké selhání patch managementu a celkově nastavení security policy a šlo se tomu přímo naproti.

14. 9. 2020 15:51:35

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463323

Vladimír Pilný

(62 hodnocení)

14. 9. 2020 15:57:28

Řešit php verzi na mail serveru no.. Já včera narazil na tohle(když už jsme u těch mail serverů): https://twitter.com/Wladass/status/1305408676136726530

A to je ještě větší fail. Rozčilovali se, že se jim vrací email, který mi posílají a vzápětí všechny maily blokuje jejich mail server.

Česká scéna je malá no.. Tak je každej průser hned vidět.

EDIT: tady vám neběží SSL: http://www.profimailing.cz/

14. 9. 2020 15:57:28

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463322

(20 hodnocení)

14. 9. 2020 16:19:41

hold je na case najmout sekuritaka :))

14. 9. 2020 16:19:41

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463321

node

(5 hodnocení)

14. 9. 2020 16:40:02

keby to php bolo verejne servirovane cez webserver tak ano, je to problem, ale tu ide iba o php skript ktory posiela email. tam sa nema kto ako dostat a verzia vobec nehra rolu.

14. 9. 2020 16:40:02

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463320

TomasX

(4 hodnocení)

14. 9. 2020 17:14:41

zranitelná verze php přece rovnou neznamená, že slabiny nejsou ošetřeny jiným způsobem, stejně tak neznamená, že když je nasazena nejnovější verze, je vše ostatní v pořádku. Pro takovéhle fatální problémy stačí jediná neošetřená služba nebo únik přihlašovacích údajů jedinému administrátorovi. Je skvělé, že komunikace probíhá, svoje chyby neskrývají a nebalamutí, rovnou vše řekli na rovinu, klobouk dolu.

Správně zabezpečený systém není neproniknutelný, ale výrazně minimalizuje případný dosah (což tady nezafungovalo) a také výrazně zkracuje potřebnou dobu na obnovu (což tady opět neproběhlo). Než najmout securiťáka bych spíše doporučil najmout architekta, aby se vybudoval robustnější systém s offline zálohami, DR plány, záložní servery.

Pokud vše teď znovu instalují, vypadá to na čistý průmaz produkčních serverů (stejně to dělají vymahačské viry), plně obnovovat to mohou ještě několik dní.

14. 9. 2020 17:14:41

https://webtrh.cz/diskuse/subreg-gransy-je-pod-utokem-vetsina-jeho-sluzeb-nefunguje#reply1463319