skip to Main Content

Cybercrime, violati i server Salt grazie a due falle

F-Secure: Il cybercrime ha violato i server Salt, utilizzati nei cluster di server cloud e reti aziendali, sfruttando le vulnerabilità CVE-2020-11651 e CVE-2020-11652

Il cybercrime ha violato i server Salt, utilizzati per gestire e automatizzare i server all’interno di data center, cluster di server cloud e reti aziendali. Lo hanno scoperto i ricercatori di cyber security di F-Secure. L’attacco ha interessato principalmente i siti Ghost Pro e i servizi di fatturazione ghost.org. L’accesso, secondo quanto riporta il CERT-PA, è stato possibile sfruttando due vulnerabilità presenti in SaltStack (risolte la scorsa settimana), identificate con CVE-2020-11651 e CVE-2020-11652. La prima consente un bypass di autenticazione utilizzato per recuperare i token utente e la seconda, l’accesso arbitrario alla directory agli utenti autenticati. Molto probabilmente i cyber attacchi sono stati eseguiti tramite uno scanner di vulnerabilità automatizzato, che ha rilevato installazioni Salt obsolete e quindi ha sfruttato automaticamente i due bug per eludere le procedure di accesso ed eseguire il codice sui server master.

Gli esperti di cyber security: Gli aggressori hanno installato backdoor su alcuni server compromessi e in altri hanno distribuito miner di criptovaluta. Potrebbero essere più di 6.000 quelli compromessi

Secondo gli esperti di cyber security, in alcuni casi gli aggressori hanno installato backdoor su alcuni server compromessi e in altri hanno distribuito miner di criptovaluta. Attualmente risultano più di 6.000 i server Salt lasciati esposti online che potrebbero essere sfruttati dal cybercrime. Il produttore ha comunque affermato che non sono state rubate credenziali degli utenti o informazioni finanziarie. Un’altra intrusione ha riguardato l’accesso a LineageOS, sistema operativo mobile basato su Android, utilizzato per smartphone, tablet e set-top box. Gli sviluppatori di LineageOS hanno affermato che l’hack è avvenuto dopo che l’attaccante ha utilizzato una vulnerabilità senza patch per violare Salt ma il codice sorgente del sistema operativo non è stato interessato. Il team di LineageOS ha contenuto l’impatto e sta provvedendo a sanare i server vulnerabili.

Back To Top