攻击者正在利用流行的SaltStack基础设施自动化软件上周晚些时候披露的两个关键漏洞来控制服务器。一些组织和开源项目的服务器已经被黑客入侵，不得不在周末关闭服务。

 

这些攻击是在漏洞被公开披露的几天后开始的，当时还没有可用的概念验证漏洞，无极4账号注册这突显出，当漏洞被发现时，IT运营团队几乎没有时间做出反应，他们应该越来越依赖自动补丁。

 

盐的漏洞

 

4月30日,研究人员从安全公司f - secure出版咨询关于两个漏洞——cve - 2020 - 11651和cve - 2020 - 11652,盐,一个流行的开源面向框架用于自动化任务,数据收集、配置和更新服务器私有数据中心或云。Salt体系结构涉及到主服务器的使用，在主服务器中，管理员可以定义任务和执行任务的客户端(称为“小黄人”)。

 

本咨询中描述“漏洞允许攻击者谁可以连接到服务器请求的端口绕过所有身份验证和授权控制和发布任意控制消息,读和写文件在“主”服务器的文件系统的任何地方和窃取密钥用于验证主作为根,“f - secure研究者说。“影响是完全远程命令执行作为根对主人和所有奴才连接到它。”

 

F-Secure在维护Salt的公司SaltStack发布该框架的3000.2和2019.2.4版本后的一天发布了它的建议，以解决这些问题。F-Secure的研究人员当时警告说，尽管他们决定保留概念验证的攻击代码，以争取用户更多的时间，但“任何有能力的黑客都能在24小时内为这些问题创造100%可靠的攻击。”该公司还警告说，根据互联网扫描，超过6000个盐主服务器直接暴露在互联网上，可能成为直接目标。

 

盐矿开采报告开始出现

 

上周末，安全专家在Twitter上报告说，无极4注册登录他们看到有人试图利用Salt漏洞。随后，来自不同组织的成功妥协的确认开始出现。

 

LineageOS项目维护着同名的流行社区Android固件，它不得不关闭所有服务器，包括其网站、邮件服务器、wiki、gerrit、下载服务器和镜像。

 

一个维护基于Node的开源内容发布解决方案的博客平台。虽然没有支付卡信息或明文凭证受到影响，但它的Ghost(Pro)服务和Ghost.org账单也受到了影响，服务器不得不离线。

 

“我们的调查显示，我们的服务器管理基础设施(Saltstack, CVE-2020-11651, CVE-2020-11652)中的一个关键漏洞被用来试图在我们的服务器上挖掘加密货币，”该公司在其状态页上表示。“挖掘尝试导致cpu激增，并迅速使我们的大多数系统超载，这立即提醒我们注意这个问题。”

 

Ghost(Pro)服务上的一些客户站点出现了网络不稳定，部分原因是为了应对攻击而引入了新的防火墙。该公司还对所有会话、密码和密钥进行了循环，并重新配置了服务器。

 

证书颁发机构DigiCert报告说，攻击者利用Salt漏洞攻击一个Salt主服务器后，它的一个证书透明性日志受到了影响。证书透明度是证书颁发机构用来公开发布其颁发的数字证书的标准。这些日志是数字签名的，外部监控器将使用它们来检测可能存在欺诈的证书。

 

DigiCert负责产品开发的副总裁杰里米•罗利(Jeremy Rowley)在一个行业邮件列表上表示:“我很遗憾地宣布，我们今天发现，用于签署SCTs的[透明认证]日志2的密钥昨晚7点通过Salt漏洞被攻破。”“虽然我们不认为这个密钥被用来签署SCTs(攻击者似乎没有意识到他们获得了密钥并在基础设施上运行其他服务)，但是从昨天下午7点MST之后的日志中提供的任何SCTs都是可疑的。日志应该从可信日志列表中删除。”

 

到目前为止，攻击的目标是在服务器上部署加密货币挖掘恶意软件，无极4产品但Salt是一个非常强大的工具，正如报告的事件所显示的，攻击者本可以利用这个漏洞做更多的事情，包括窃取敏感数据。