Vài ngày sau khi các nhà nghiên cứu an ninh mạng đã gióng lên hồi chuông cảnh báo về hai lỗ hổng nghiêm trọng trong Khung cấu hình SaltStack, một chiến dịch hack đã bắt đầu khai thác lỗ hổng để vi phạm các máy chủ của LineageOS, Ghost và Digicert.
Theo dõi như CVE-2020-11651 và CVE-2020-11652, các lỗ hổng được tiết lộ có thể cho phép một kẻ thù thực thi mã tùy ý trên các máy chủ từ xa được triển khai trong các trung tâm dữ liệu và môi trường đám mây. Các vấn đề đã được SaltStack khắc phục trong giải phóng xuất bản vào ngày 29 tháng 4.
“Chúng tôi hy vọng rằng bất kỳ tin tặc có thẩm quyền nào cũng có thể tạo ra các khai thác đáng tin cậy 100% cho các vấn đề này trong vòng chưa đầy 24 giờ”, các nhà nghiên cứu của F-Secure đã cảnh báo trước đó trong một lời khuyên vào tuần trước.
LineageOS, một nhà sản xuất một hệ điều hành nguồn mở dựa trên Android, cho biết họ đã phát hiện ra sự xâm nhập vào ngày 2 tháng 5 vào khoảng 8 giờ tối theo giờ Thái Bình Dương.
“Khoảng 8 giờ tối PST ngày 2 tháng 5 năm 2020, một kẻ tấn công đã sử dụng CVE trong chủ SaltStack của chúng tôi để có quyền truy cập vào cơ sở hạ tầng của chúng tôi,” công ty lưu ý trong báo cáo sự cố nhưng đã thêm các bản dựng Android và khóa ký không bị ảnh hưởng bởi vi phạm.
Ghost, một nền tảng viết blog dựa trên Node.js, cũng trở thành nạn nhân của lỗ hổng tương tự. Trong trang trạng thái của mình, các nhà phát triển lưu ý rằng “khoảng 1:30 sáng UTC vào ngày 3 tháng 5 năm 2020, một kẻ tấn công đã sử dụng CVE trong chủ SaltStack của chúng tôi để có quyền truy cập vào cơ sở hạ tầng của chúng tôi” và cài đặt một công cụ khai thác tiền điện tử.
“Nỗ lực khai thác đã tăng vọt CPU và nhanh chóng làm quá tải hầu hết các hệ thống của chúng tôi, điều này cảnh báo chúng tôi về vấn đề này ngay lập tức,” Ma thêm.
Tuy nhiên, Ghost xác nhận không có bằng chứng nào cho thấy sự cố dẫn đến sự thỏa hiệp về dữ liệu, mật khẩu và thông tin tài chính của khách hàng.
Cả LineageOS và Ghost đều đã khôi phục các dịch vụ sau khi đưa máy chủ ngoại tuyến để vá các hệ thống và bảo mật chúng sau một tường lửa mới.
Trong một phát triển riêng biệt, lỗ hổng Salt cũng được sử dụng để hack vào cơ quan cấp chứng chỉ Digicert.
“Chúng tôi đã phát hiện ra rằng Nhật ký CT Chìa khóa của 2 được sử dụng để ký SCT (dấu thời gian chứng chỉ đã ký) đã bị xâm phạm đêm qua lúc 7 giờ tối qua lỗ hổng Salt, “Phó chủ tịch sản phẩm của DigiCert Jeremy Rowley nói trong một nhóm Google bài viết vào Chủ nhật.
“Mặc dù chúng tôi không nghĩ rằng khóa được sử dụng để ký SCT (kẻ tấn công dường như không nhận ra rằng họ đã có quyền truy cập vào khóa và đang chạy các dịch vụ khác trên cơ sở hạ tầng), bất kỳ SCT nào được cung cấp từ nhật ký đó sau 7 giờ tối MST hôm qua là nghi ngờ. Nhật ký nên được lấy từ danh sách nhật ký đáng tin cậy. “
Với tiết lộ cảnh báo của F-Secure hơn 6.000 máy chủ dễ bị nhiễm muối có thể bị khai thác thông qua lỗ hổng này, nếu không được vá, các công ty nên cập nhật các gói phần mềm Salt lên phiên bản mới nhất để giải quyết các lỗ hổng.
