Geral 2min de Leitura - 05 de maio de 2020

Hackers violam servidores usando vulnerabilidades do SaltStack

Close em tela de computador que apresenta linguagem de programação. Vulnerabilidade SaltStack

This post is also available in: Português

Há poucos dias, especialistas em segurança digital alertaram sobre duas vulnerabilidades críticas na estrutura do SaltStack – um software de código aberto dedicado ao gerenciamento de configuração de software e mecanismos de execução remota. Agora, diversos hackers começaram a explorar tais falhas para violar servidores do LineageOS, Ghost e DigiCert.

Identificadas como CVE-2020-11651 e CVE-2020-11652, as falhas podem permitir que se execute um código arbitrário em servidores remotos implantados em data centers e ambientes em nuvem. A LineageOS, fabricante de um sistema operacional de código aberto baseado em Android, disse que detectou uma invasão no dia 2 de maio.

“Um invasor usou uma CVE em nosso SaltStack para obter acesso à nossa infraestrutura”, observou a empresa em seu relatório sobre o incidente. O comunicado disse ainda que as chaves de criação e assinatura do Android não foram afetadas.

O Ghost, uma plataforma de blogs baseada no Node.js, também foi vítima da mesma falha. Em sua página de status, os desenvolvedores observaram que em 3 de maio um invasor usou uma CVE em seu SaltStack para acessar a infraestrutura e instalou um minerador de criptomoedas.

“A tentativa de mineração sobrecarregou rapidamente a maioria dos nossos sistemas, o que nos alertou para o problema imediatamente”, disseram os responsáveis pela Ghost.

A empresa, no entanto, confirmou que não havia evidências de que o incidente resultou em comprometimento de dados, senhas ou informações financeiras de clientes. Tanto o LineageOS quanto o Ghost restauraram os serviços depois de colocar os servidores no modo off-line para corrigir os sistemas e protegê-los por meio de um novo firewall.

Em uma outra investida, a vulnerabilidade do SaltStack foi usada para invadir a DigiCert, uma multinacional que é referência em segurança digital.

“Descobrimos que a chave do CT Log 2 usada para assinar SCTs (carimbos de data e hora de certificados assinados) foi comprometida pela vulnerabilidade no Salt”, disse o vice-presidente de produto da DigiCert, Jeremy Rowley.

“Embora não acreditemos que a chave tenha sido usada para assinar SCTs, alertamos sobre a existência de arquivos suspeitos. O log deve ser excluído da lista de confiáveis”.

O alerta revelou mais de 6.000 servidores vulneráveis ao Salt que podem ser explorados por essa falha. Se não houver correções, as empresas serão aconselhadas a atualizarem os pacotes de software do Salt para a versão mais recente – tudo com o intuito de resolver os problemas e evitar novas investidas de hackers.

Acompanhe as OSTEC nas redes sociais para ficar por dentro de todo nosso conteúdo: Instagram, Facebook, Linkedin, Twitter.

This post is also available in: Português