julienth37 Certes mais avec une bonne politique de backups on s'en fout un peu non? En plus avec la gamme Kimsufi vu le prix on sait dans quoi on met les pieds lol
channouze
- 21 janv.
- Inscrit 7 janv. 2017
- Dans Kimsufi et Soft Raid
- Dans Kimsufi et Soft Raid
- Modifié
Je déterre ce topic par rapport à une récente attaque que mon serveur a subie. En effet le service Teamcity de JetBrains était impacté par les vulnérabilités CVE-2024-27198 et CVE-2024-27199 qui ont été publiquement dévoilées le
4 Mars 2024. Vous pouvez voir ici tous les détails sur comment exploiter la faille, et on notera qu'entre la communication officielle de JetBrains et la publication de l'exploit il s'est écoulé à peine 24h, autant dire que beaucoup de sysadmins doivent grincer des dents.Mon setup est comme suit:
- CrowdSec est installé avec le bouncer qui utilise directement iptables
- Fail2ban monitore les logs de mon reverse proxy et bannit préemptivement toutes les IPs appartenant à certains pays (au cas où CrowdSec laisse passer des mauvais acteurs)
J'ai patché mon serveur 2 jours après la divulgation de la faille, et j'ai ainsi pu monitorer l'intégralité des attaques dans l'intervalle. J'ai donc fait des références croisées pour déterminer à quel point CrowdSec est efficace dans le cadre d'une attaque ciblé utilisant un exploit très récent.
La réponse ne va pas vous plaire...Voici les ips identifiées et bloquées par Crowdsec (j'utilise les 3 blocklists de la version gratuite, à savoir Firehol BotScout, Firehol cruzit.com et Free proxies list)
- 161.35.155.246
- 167.71.185.75
- 188.166.87.88
- 170.130.75.10
- 199.45.154.17
- 199.45.155.33
- 199.45.155.48
Voici les ips des acteurs qui ont tenté d'exploiter la faille de Teamcity:
- 185.174.137.26
- 103.253.73.99
- 146.0.228.66
Voici les ips des acteurs qui ont, en plus, tenté de déployer un malware
- 149.28.30.75 (ransomware win64) - https://app.crowdsec.net/cti/149.28.30.75 n'a aucune donnée
- 83.97.20.141 (Cobalt Strike variant / Vermilion Strike linux malware)
- 193.149.176.223 (ransomware win64 / XMRig Monero Miner linux) - https://app.crowdsec.net/cti/193.149.176.223 n'a aucune donnée
Il n'y a aucune correspondance entre les IPs détectées par CrowdSec et celles, bien plus dangereuses, qui exploitent activement la faille. D'où l'intérêt d'avoir d'autres méthodes de mitigation en place.
Exact je me suis trompé. Par contre il me semble que le site web d'analyse de logs lui (crowdsec.net), n'est pas open source.
Chacun ses choix de sécurité, personnellement je ne confie pas le filtrage des IPs à un tiers dont je ne connais pas la boite noire. Le jour où il se fera toucher par un zero-day tu seras bien content d'avoir fail2ban en backup.
julienth37 fail2ban est parfaitement capable de lire les logs de systemd, il suffit de spécifier le backend voulu dans le jail.