Η blogging πλατφόρμα Ghost έπεσε θύμα hacking επίθεσης. Οι επιτιθέμενοι παραβίασαν τους servers της και εγκατέστησαν ένα crypto-miner.
Μια σοβαρή hacking εκστρατεία λαμβάνει χώρα τις τελευταίες ώρες, με δεκάδες εταιρείες να έχουν ήδη παραβιαστεί.
Σύμφωνα με ερευνητές ασφαλείας, τις τελευταίες ώρες, hackers σαρώνουν μαζικά το Διαδίκτυο για Salt, έναν τύπο λογισμικού που χρησιμοποιείται για τη διαχείριση και αυτοματοποίηση servers μέσα σε κέντρα δεδομένων, cloud server clusters και εταιρικά δίκτυα.
Οι επιτιθέμενοι εκμεταλλεύονται δύο πρόσφατα διορθωμένα σφάλματα για να αποκτήσουν πρόσβαση σε Salt servers και να αναπτύξουν ένα crypto-miner.
Το LineageOS χακαρίστηκε. Τώρα και η πλατφόρμα Ghost.
Αρχικά, οι hackers κατάφεραν να παραβιάσουν τους servers του LineageOS, ενός mobile λειτουργικού συστήματος.
Ένα δεύτερο μεγάλο hack εμφανίστηκε μερικές ώρες αργότερα. Το δεύτερο θύμα είναι το Ghost, μια πλατφόρμα blogging που βασίζεται στο Node.js. Δημιουργήθηκε και παρουσιάστηκε ως απλούστερη εναλλακτική λύση του WordPress.
Η ομάδα προγραμματιστών του Ghost είπε ότι εντόπισε μια παραβίαση των συστημάτων της backend υποδομής περίπου στις 1:30 π.μ.
Οι προγραμματιστές της Ghost δήλωσαν ότι οι hackers χρησιμοποίησαν την ευπάθεια CVE-2020-11651 (παράκαμψη ελέγχου ταυτότητας) και την CVE-2020-11652 (directory traversal) για να πάρουν τον έλεγχο του κύριου Salt server.
Η blogging εταιρεία είπε ότι ενώ οι hackers είχαν πρόσβαση sτα Ghost (Pro) sites και τις υπηρεσίες χρέωσης Ghost.org, δεν έκλεψαν οικονομικές πληροφορίες ή credentials χρηστών.
Αντ’ αυτού, η Ghost είπε ότι οι hackers εγκατέστησαν ένα crypto-miner.
“Η απόπειρα εξόρυξης αύξησε τις CPU και γρήγορα υπερφόρτωσε τα περισσότερα από τα συστήματά μας, το οποίο μας προειδοποίησε για το ζήτημα αμέσως”, ανέφεραν οι προγραμματιστές της πλατφόρμας Ghost.
Όπως συνέβη και με το LineageOS, οι Ghost προγραμματιστές κατέβασαν όλους τους servers, διόρθωσαν τα συστήματα και ειδοποίησαν για την κατάσταση μετά από μερικές ώρες.
Ένας ερευνητής ασφαλείας δήλωσε ότι οι επιθέσεις πιθανότατα πραγματοποιήθηκαν με έναν αυτοματοποιημένο σαρωτή ευπαθειών που εντοπίζει μη ενημερωμένες εγκαταστάσεις Salt. Στη συνέχεια, οι hackers χρησιμοποίησαν τα δύο σφάλματα για να εγκαταστήσουν το κακόβουλο crypto-miner.
“Πιθανότατα, οι hackers πίσω από αυτές τις σαρώσεις δεν γνωρίζουν καν τον τύπο των εταιρειών που παραβιάζουν αυτή τη στιγμή”, δήλωσε ο ερευνητής. “Βλέπουμε τέτοιους Salt servers σε τράπεζες, web hosters και εταιρείες Fortune 500”.
“Πολύ σύντομα οι συμμορίες ransomware θα ξεκινήσουν τις σαρώσεις γι’ αυτό το σφάλμα, και θα δούμε το χάος”.
Ορισμένες από αυτές τις εισβολές έχουν αναφερθεί σε ένα GitHub thread. Υπάρχουν παρόμοιες αναφορές για έναν εισβολέα που φυτεύει ένα crypto-miner σε παραβιασμένα Salt συστήματα. Λέγεται ότι πίσω από τις περισσότερες εισβολές βρίσκεται το botnet Kinsing.
Η Saltstack, η εταιρεία πίσω από το λογισμικό Salt, δημοσίευσε ενημερώσεις νωρίτερα αυτήν την εβδομάδα για να αντιμετωπίσει τις δύο ευπάθειες. Οι εταιρείες πρέπει είτε να ενημερώσουν τους servers Salt είτε να τους ασφαλίσουν πίσω από ένα firewall. Αυτή τη στιγμή, υπάρχουν περίπου 6.000 Salt servers που εκτίθενται στο Διαδίκτυο.