Servidores de la plataforma de weblogs fantasma pirateados para extraer criptomonedas


Ghost no fue la única víctima de robos durante el fin de semana que explotó agujeros críticos en el application de automatización de infraestructura para el que había parches disponibles

La well known plataforma de weblogs Ghost se ha encontrado en la mira de los atacantes que obtuvieron acceso a su infraestructura de TI e instalaron malware de minería de criptomonedas durante el fin de semana. La intrusión ocurrió en las primeras horas del 3 de mayo.rd y los sitios net afectados de Ghost (Pro) y los servicios de facturación de la plataforma, lee un declaración en el sitio web de Ghost.

En el lado positivo, no hay evidencia directa que corrobore que los datos privados de los clientes, incluidas las contraseñas, la información de las tarjetas de crédito o las credenciales, se vieron comprometidas. La compañía introdujo de inmediato un conjunto de medidas de seguridad para combatir la violación, como agregar firewalls adicionales y ciclar todas las sesiones, contraseñas y claves en todos los servicios afectados.

El intento de extraer criptomonedas provocó un aumento en el uso de la CPU y la sobrecarga de la mayoría de los sistemas de Ghost, que en realidad sonaron las alarmas. «Todos los rastros del virus de cripto-minería se eliminaron con éxito ayer, todos los sistemas permanecen estables y no hemos descubierto más preocupaciones o problemas en nuestra red». El equipo ahora está trabajando duro en la remediación para limpiar y reconstruir toda nuestra purple «, dijo el desarrollador de Ghost.

La investigación también encontró que los atacantes explotaron vulnerabilidades críticas en la infraestructura de administración de servidores de Ghost. Las vulnerabilidades residían en Salt, el software de automatización de infraestructura también conocido como SaltStack, y se utilizaron para hacerse cargo del servidor maestro de Salt. Parches para estas vulnerabilidades, indexados como CVE-2020-11651 y CVE-2020-11652 – fueron lanzado por el fabricante del software package a finales de abril, pero aparentemente no se presentaron a su debido tiempo. La explotación de los defectos permite al atacante omitir todos los controles de autenticación y autorización y obtener la ejecución completa de comandos remotos como root.

LECTURA RELACIONADA Parche en bruto, o cómo cerrar la ventana de oportunidad (sin parche)

La compañía también agregó que continuará investigando el problema hasta que se resuelva por completo y se comunicará con todos sus clientes sobre el incidente. La plataforma es inicio de weblogs para los gustos de Tinder, Mozilla y DuckDuckGo.

Mas problemas

De acuerdo a un historia rota por ZDNet, los ciberdelincuentes han estado particularmente ocupados explotando las vulnerabilidades en SaltServer para violar otras instalaciones no parcheadas, incluidas las utilizadas para LineageOS. El distribuidor de este sistema operativo de código abierto. sufrió un ataque el 2 de mayoDakota del Norte y notificó a sus usuarios al respecto a su debido tiempo. Aunque la compañía no entró en detalles, la declaración dice que un atacante usó un CVE para obtener acceso a su maestro SaltStack. Algunos se apresuraron a señalar que la vulnerabilidad se había revelado durante más de una semana y que los sistemas deberían haberse reparado mucho antes de que ocurriera el ataque.

Se compartieron informes de ataques similares en un Hilo SaltStack GitHub, y algunos agregaron que detectaron mineros de criptomonedas en sus máquinas. Según un usuario en el hilo, hay más de 6,000 servidores Salt aún expuestos en línea que pueden ser susceptibles a la vulnerabilidad.








Enlace a la noticia initial