Ghost博客系统官网被最新的SaltStack漏洞攻击并植入挖矿木马
Saltstack是基于python开发的一套C/S架构配置管理工具。结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。
通过部署SaltStack环境,可以在成千上万台服务器上做到批量执行命令,根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。
因此,很多云主机商,私有云公司都会使用该工具进行管理。
在该漏洞被曝光后,今日传来消息,拥有安装量200万的开源博客平台Ghost的官网被黑客入侵。
Ghost博客网站用户包括火狐Mozilla,苹果,NASA和DuckDuckGo等知名客户,其注册用户为75万。
上午3:24(BST),该站点发布了服务更新,指出它正在调查中断原因,其称:2020年5月3日上午1:30左右,攻击者在我们的SaltStack主设备中使用最新漏洞来访问我们的基础结构。
黑客攻击影响了Ghost Pro网站和Ghost.org计费服务。但是,在调查的这一阶段,没有信用卡信息被泄露,也没有以纯文本形式存储任何用户凭据。
Ghost更新指出:“没有直接证据表明私人客户数据,密码或其他信息已受到破坏,所有会话,密码和密钥都处于循环状态,所有服务器都已重新配置。”
在1:46 pm(BST)发布的更新显示,早期调查显示,使用SaltStack漏洞试图在Ghost服务器上挖掘加密货币。它说:“采矿尝试使CPU数量激增,并迅速使我们的大多数系统超载,这立即提醒我们注意该问题。” 尚无证据表明尝试访问任何系统或数据。
此外腾讯安全威胁情报中心也发布了关于有黑产利用该漏洞进行挖矿的攻击所用的IOC信息,两起事件相关性极大,怀疑是同一个黑客组织,可用于参考。
信息参考链接中的文章,侵权删除:
https://www.forbes.com/sites/daveywinder/2020/05/03/ghost-confirms-hack-attack-750000-users-spooked-by-critical-vulnerability/#7453c34a363e
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
https://mp.weixin.qq.com/s/sVg9KcEv7fZoIRDyO1c2RQ
上期阅读