Servidores Executando o Software SaltStack não Corrigido foram Hackeados
Nos primeiros dias de maio de 2020, os hackers tentaram entrar nos sistemas que executam o software de gerenciamento de servidores Salt. Conforme relatado pela ZDnet, autores mal-intencionados usaram um digitalizador automatizado que vasculha a Internet em busca de servidores executando o software SaltStack e explorando alguns bugs que foram corrigidos nas versões mais recentes.
Segundo relatos de segurança, pelo menos uma dúzia de empresas foram afetadas or esse ataque em larga escala. Entre eles destacam-se o LineageOS, um sistema operacional móvel e a plataforma de blogs Ghost. Os hackers que assumiram o controle dos servidores comprometidos instalaram um malware de mineração de criptomoedas neles. Os dois erros explorados pelos maus autores incluem um desvio de autenticação e um desvio de diretório. Esses dois erros foram registrados como CVE-2020-11651 e CVE-2020-11652 e permitiram o acesso aos servidores da Nuvem e Central de Dados que executa o Salt.
Os Hackers Buscam Somente a Mineração de Cripto-Moeda, não Roubo
Em uma atualização de status publicada pela equipe da plataforma Ghost, o público e seus clientes foram informados de que nenhuma informação e credencial do cartão de crédito foram roubadas ou afetadas de forma alguma. Os hackers instalaram o malware do minerador de criptomoeda nos servidores comprometidos. Isso levou a um aumento imediato e muito óbvio na atividade da CPU do servidor e a uma eventual sobrecarga, que por sua vez alertou rapidamente a equipe do Ghost sobre a invasão. O Ghost reagiu desativando todos os servidores e corrigindo o problema com a correção fornecida pela equipe do Salt antes de recuperar tudo.
A extensão do controle que os hackers obtiveram sobre os sistemas comprometidos foi significativa. Os fraudadores receberam acesso root ao servidor, acesso total aos sistemas de arquivos e a capacidade de executar o código remotamente.
Medos Pairam Sobre Ataques de Ransomware a Servidores do Salt sem Correção
Há receios de que, em breve, os autores de ransomware possam intervir e tentar explorar as mesmas vulnerabilidades nos sistemas que ainda não estão atualizados, o que pode ser um problema muito maior e mais caro do que o ataque do minerador de criptomoeda. O ZDNet cita uma fonte anônima que acredita que os ataques dos mineradores de criptomoeda foram realizados usando a botnet Kinsing.
Os especialistas em segurança citados pela ZDnet acreditam que os maus autores usaram um bot que verifica as instalações mais antigas do SaltStack e aciona automaticamente as vulnerabilidades para obter acesso. Os primeiros relatórios da F-Secure descobriram cerca de 6.000 sistemas potencialmente vulneráveis. Os bugs críticos no Salt que foram explorados no ataque foram corrigidos no final de abril.