Los atacantes explotan los defectos de SaltStack para comprometer …



Los intrusos obtuvieron acceso a los sistemas centrales en el proyecto LineageOS basado en Android y la plataforma Ghost.

Los atacantes explotaron dos vulnerabilidades recientemente reveladas en el marco de administración de configuración y orquestación de SaltStack para comprometer al menos dos tecnologías de código abierto conocidas durante el fin de semana.

El domingo temprano, el equipo que mantenía el sistema operativo móvil LineageOS gratuito y de código abierto anunció que un atacante había utilizado las fallas en SaltStack para acceder a la infraestructura principal del proyecto.

La intrusión del sábado por la noche resultó en que todos los servicios se desconectaran brevemente mientras los encargados del sistema operativo trabajaban en el reaprovisionamiento de los servidores afectados. En una declaración vía Gorjeo, el equipo de LineageOS anunció que el código fuente, las claves de firma y las compilaciones del sistema operativo no se habían visto afectadas en el ataque.

Las compilaciones del sistema operativo no se vieron afectadas porque las compilaciones ya se habían pausado desde el 30 de abril debido a un problema no relacionado, mientras que las claves de firma para el sistema operativo no se vieron afectadas porque se almacenan completamente por separado de la infraestructura principal, LineageOS dijo.

El LineageOS basado en Android actualmente se ejecuta en más de 120 dispositivos de casi dos docenas de proveedores, incluidos LG, Samsung, Sony, Google, Huawei, Motorola y Asus. El sistema operativo tiene más de 1,4 millones de descargas.

El segundo incidente involucró la plataforma de blogs de código abierto Ghost. Al igual que con LineageOS, el ataque a la organización sin fines de lucro ocurrió el sábado e implicó las mismas vulnerabilidades en SaltStack.

en un actualización de estado publicado en su sitio, Ghost dijo que los atacantes explotaron el error SaltStack para plantar malware de criptominería en los servidores de Ghost. «El intento de minería aumentó las CPU y rápidamente sobrecargó la mayoría de nuestros sistemas, lo que nos alertó sobre el problema de inmediato», dijo Ghost.

Los atacantes parecen no haber intentado acceder a ninguno de los sistemas o datos de Ghost. Aun así, todas las sesiones, contraseñas. y las claves han sido cambiadas y todos los servidores han sido reaprovisionados, dijo la organización sin fines de lucro. Los administradores de Ghost también agregaron múltiples firewalls nuevos y precauciones de seguridad, lo que a su vez causó problemas de inestabilidad de crimson y conectividad para algunos sitios que se ejecutan en Ghost.

En actualizaciones posteriores, incluido un lunes, Ghost dijo que había abordado la estabilidad y otros problemas causados ​​por sus nuevos controles de seguridad y eliminado todos los rastros del malware cryptomining de sus servidores. «El equipo ahora está trabajando duro en la reparación para limpiar y reconstruir toda nuestra red. Mantendremos este incidente abierto y continuaremos compartiendo actualizaciones», dijo Ghost.

Defectos de SaltStack
El proveedor de seguridad F-Safe descubrió e informó recientemente sobre las dos vulnerabilidades en SaltStack que se explotaron en los ataques a LineageOS y Ghost.

La compañia descrito los dos defectos (CVE-2020-11651 y CVE-2020-11652) como omisión de autenticación y vulnerabilidades transversales del directorio que afectan al llamado modelo «maestro» y «minion» en el marco de SaltStack.

El minion es básicamente un agente que se ejecuta en cada servidor que es monitoreado y administrado por una instalación maestra de SaltStack. F-Safe descubrió que los atacantes podrían aprovechar las dos vulnerabilidades para obtener esencialmente acceso a nivel raíz y ejecutar comandos maliciosos de forma remota tanto en el maestro como en todos los secuaces que se conectan a él.

Según F-Protected, un análisis de Net reveló más de 6,000 maestros de SaltStack que están expuestos públicamente y son vulnerables a los ataques. «Esperamos que cualquier hacker competente pueda crear exploits 100% confiables para estos problemas en menos de 24 horas», dijo el proveedor de seguridad al explicar por qué hasta ahora no había lanzado un código de exploit de prueba de concepto.

SaltStack ha emitido un arreglo para ambos defectos, pero al menos algunos de los servidores maestros expuestos no están configurados para recibir automáticamente las actualizaciones, lo que significa que es probable que sigan siendo vulnerables, señaló F-Protected.

«Se ha observado una explotación activa en la naturaleza de dos fallas críticas en el marco de gestión de Salt, que se utiliza en centros de datos y entornos de nube para configurar, monitorear y actualizar sistemas», escribió Satnam Narang, ingeniero de investigación del own de Tenable, en un correo electrónico.

Las organizaciones que usan Salt en su entorno deberían aplicar los parches disponibles lo antes posible, aconsejó Narang. «Si no es posible aplicar parches, asegúrese de que el maestro de sal tenga los controles de seguridad de crimson adecuados», escribió.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más tips





Enlace a la noticia unique