Servidores de LineageOS, Ghost, DigiCert son hackeados utilizando la vulnerabilidad SaltStack

Hackean servidores de LineageOS, Ghost, DigiCert utilizando la vulnerabilidad de SaltStak para minar criptomonedas.

Días después de que los investigadores de ciberseguridad dieron la alarma sobre dos vulnerabilidades críticas en el marco de configuración de SaltStack , una campaña de hackeo ya ha comenzado a explotar las fallas para vulnerar los servidores de LineageOS, Ghost y DigiCert.

Identificado como CVE-2020-11651 y CVE-2020-11652 , las fallas reveladas podrían permitir que un adversario ejecute código arbitrario en servidores remotos implementados en centros de datos y entornos de nube. SaltStack solucionó los problemas en un comunicado publicado el 29 de abril.

«Esperamos que cualquier pirata informático competente pueda crear exploits 100% confiables para estos problemas en menos de 24 horas», habían advertido previamente los investigadores de F-Secure en un aviso la semana pasada.

LineageOS, fabricante de un sistema operativo de código abierto basado en Android, dijo que detectó la intrusión el 2 de mayo alrededor de las 8 pm, hora del Pacífico.

«Alrededor de las 8 pm PST del 2 de mayo de 2020, un atacante usó un CVE en SaltStack para obtener acceso a nuestra infraestructura» , señaló la compañía en su informe de incidentes, pero agregó que las compilaciones de Android y las claves de firma no se vieron afectadas por la violación.

Ghost, una plataforma de blogs basada en Node.js, también fue víctima de la misma falla. En su página de estado, los desarrolladores señalaron que «alrededor de la 1:30 am UTC del 3 de mayo de 2020, un atacante usó un CVE en SaltStack para obtener acceso a nuestra infraestructura» e instaló un minero de criptomonedas.

«El intento de minería aumentó las CPU y rápidamente sobrecargó la mayoría de nuestros sistemas», mencionó Ghost. Sin embargo, Ghost confirmó que no había evidencia de que el incidente resultó en un compromiso de los datos del cliente, contraseñas e información financiera.

Tanto LineageOS como Ghost han restaurado los servicios después de desconectar los servidores para parchear los sistemas y protegerlos detrás de un nuevo firewall. En un desarrollo separado, la vulnerabilidad de SaltStack también se utilizó para piratear la autoridad de certificación DigiCert.

«Descubrimos hoy que la clave de CT Log 2 utilizada para firmar SCT (marcas de tiempo de certificado firmadas) se vio comprometida anoche a las 7 pm a través de la vulnerabilidad de Salt», dijo el vicepresidente de producto de DigiCert, Jeremy Rowley, en una publicación de Google Groups realizada el domingo.

«Aunque no creemos que la clave se haya utilizado para firmar SCT (el atacante no parece darse cuenta de que obtuvieron acceso a las claves y estaban ejecutando otros servicios en la infraestructura), cualquier SCT proporcionada desde ese registro después de las 7 pm MST ayer son sospechosos. El registro debe extraerse de la lista de registros de confianza «.

Con la alerta de F-Secure revelando más de 6, que puede explotarse a través de esta vulnerabilidad, si no se repara, se aconseja a las empresas que actualicen los paquetes de software de Salt a la última versión para resolver los defectos.

Fuente: thehackernews.com

Comments are closed.