De acordo com a equipe de desenvolvimento da plataforma de blog Ghost, hackers atacou usando as vulnerabilidades de desvio de autenticação (CVE-2020-11651) e desvio de diretório (CVE-2020-11652) vulnerabilidades no Salt para obter controle sobre o servidor principal.
Atualmente em andamento está uma campanha maliciosa em grande escala, durante o qual foram hackeados sistemas de várias empresas. Os cibercriminosos verificam ativamente a rede em busca de servidores com software Salt instalado, usado para gerenciar e automatizar servidores dentro de data centers, clusters de servidores em nuvem, e redes corporativas.
“Embora os criminosos tivessem acesso ao Ghost (Pró) sites e serviços de cobrança do Ghost.org, eles não roubaram informações financeiras ou credenciais de usuário. Em vez de, eles baixaram um minerador de criptomoedas”, – informe os desenvolvedores do Ghost.
A tentativa de mineração causou uma carga nos processadores e sobrecarregou a maioria dos sistemas de computador, avisando imediatamente os especialistas sobre o problema. Os desenvolvedores fantasmas desligaram todos os servidores, consertou os sistemas, e algumas horas depois retomaram seu trabalho.
Segundo alguns especialistas, os ataques provavelmente foram realizados usando um scanner automático de vulnerabilidades que detectou servidores Salt desatualizados, e então explorou automaticamente duas vulnerabilidades para instalar malware.
“É possível que os autores desses ataques nem saibam quais empresas estão invadindo atualmente. Servidores Salt vulneráveis são corrigidos em bancos, hospedagem na web e Fortune 500 empresas”, – disseram os especialistas.
Também, tendo explorado vulnerabilidades na instalação do framework Saltstack Salt, hackers obtiveram acesso não autorizado à infraestrutura do sistema operacional móvel LineageOS, criado com base no Android e usado em smartphones, tablets e decodificadores.
De acordo com a equipe do LineageOS notificação, eles descobriram o hack antes que os invasores pudessem causar qualquer dano.
“O código fonte do sistema operacional e sua montagem, cujo lançamento foi suspenso em abril 30 por motivos não relacionados ao hacking, não foi afetado. Os invasores não conseguiram obter acesso às chaves para assinar as versões oficiais do LineageOS, uma vez que são armazenados separadamente da infraestrutura principal do sistema operacional”, – disseram os desenvolvedores do LineageOS.
Pilha de sal, o desenvolvedor de Software de sal, já lançou patches para essas vulnerabilidades. Atualmente, pesquisadores descobriram na Internet sobre 6 mil servidores Salt vulneráveis.
Deixe-me lembrá-lo que recentemente o pesquisador de IS descoberto uma vulnerabilidade crítica no GitLab.