In questi giorni, utenti malintenzionati hanno ottenuto l’accesso ai server Salt, software utilizzato per gestire i server in data center, ambienti cloud e reti aziendali. L’attacco ha interessato in particolare i siti Ghost Pro e i servizi di fatturazione Ghost.org.
Due le vulnerabilità in SaltStack che, sfruttate, hanno consentito l’accesso non autorizzato: risolte la scorsa settimana e identificate con CVE-2020-11651: un bypass di autenticazione utilizzato per recuperare i token utente e CVE-2020-11652 che consente l’accesso arbitrario alla directory agli utenti autenticati.
Si presume che gli attacchi siano stati eseguiti tramite uno scanner di vulnerabilità automatizzato che ha rilevato installazioni Salt obsolete e quindi abbia sfruttato automaticamente i due bug per eludere le procedure di accesso ed eseguire il codice sui server master Salt.
In vari casi, gli aggressori hanno installato backdoor su server compromessi e in altri hanno distribuito miner di criptovaluta. Una scansione ha rilevato più di 6.000 i server Salt lasciati esposti online che potrebbero essere sfruttati.
Un’altra intrusione ha riguardato l’accesso a LineageOS, sistema operativo mobile basato su Android, in uso per smartphone, tablet e set-top box. La società ha affermato che non sono state rubate credenziali degli utenti o informazioni finanziarie.
Gli sviluppatori di LineageOS hanno affermato che l’hack è avvenuto dopo che l’attaccante ha utilizzato una vulnerabilità senza patch per violare Salt ma il codice sorgente del sistema operativo non è stato interessato.
Il team di LineageOS ha contenuto l’impatto e sta provvedendo a sanare i server vulnerabili.
https://www.cert-pa.it/notizie/violati-server-salt-e-lineageos/
