黑客利用SaltStack漏洞破坏LineageOS,Ghost和DigiCert服务器
网络安全研究人员对SaltStack配置框架中的两个关键漏洞发出警报后的几天,一个黑客活动已经开始利用这些漏洞来破坏LineageOS,Ghost和DigiCert的服务器。
被跟踪为CVE-2020-11651和CVE-2020-11652,所揭示的缺陷可能使攻击者可以在数据中心和云环境中部署的远程服务器上执行任意代码。SaltStack在4月29日发布的版本中修复了这些问题。
此前我们刚报道:
F-Secure研究人员在上周的一次咨询中警告说:“我们希望任何称职的黑客都能在24小时内为这些问题创建100%可靠的漏洞利用。”
LineageOS是一家基于Android的开源操作系统的制造商,该公司表示已于5月2日太平洋时间晚上8点左右检测到入侵。
该公司在事件报告中指出:“在2020年5月2日太平洋标准时间下午8点左右,攻击者使用了SaltStack主设备中的CVE来访问我们的基础结构。” 他补充说,Android版本和签名密钥不受此漏洞的影响。
Ghost,一个基于Node.js的博客平台,也遭受了同样漏洞的侵害。在状态页中,开发人员指出:“到2020年5月3日世界标准时间凌晨1:30左右,攻击者在我们的SaltStack主数据库中使用CVE来访问我们的基础结构”并安装了一个加密货币矿工。
“采矿尝试使CPU数量激增,并使我们的大多数系统迅速过载。但是,Ghost确认没有证据表明此事件导致客户数据,密码和财务信息受到损害。
在使服务器脱机以修补系统并将它们保护在新防火墙之后,LineageOS和Ghost都恢复了服务。
在一个单独的开发中,Salt漏洞也用于入侵DigiCert证书颁发机构。DigiCert产品副总裁杰里米·罗利(Jeremy Rowley)在周日在Google Groups上发表的一篇文章中说:“我们今天发现,用于记录 SCT(签名证书时间戳)的CT Log 2密钥是在昨晚晚上7点通过Salt漏洞遭到破坏的。” “尽管我们不认为该密钥是用于对SCT进行签名的(攻击者似乎并未意识到他们已经获得了对密钥的访问权并在基础架构上运行其他服务),但在MST晚上7点之后,该日志中提供了任何SCT昨天是可疑的。应从受信任的日志列表中提取日志。” F-Secure的警报显示超过6个。
可以通过此漏洞利用此漏洞,如果不进行修补,建议公司将Salt软件包更新到最新版本以解决该漏洞。
修复:
https://repo.saltstack.com