06/05/20
В настоящее время ведется масштабная вредоносная кампания, в рамках которой были взломаны системы различных компаний. Киберпреступники активно сканируют Сеть на предмет серверов с установленным программным обеспечением Salt, используемым для управления и автоматизации серверов внутри центров обработки данных, кластеров облачных серверов и корпоративных сетей. По словам команды разработчиков платформы для ведения блогов Ghost, преступники эксплуатировали уязвимости обхода аутентификации ( CVE-2020-11651 ) и обхода каталога ( CVE-2020-11652 ) в Salt с целью получить контроль над главным сервером.
Несмотря на то, что преступники имели доступ к сайтам Ghost(Pro) и биллинг-сервисам Ghost.org, они не похитили финансовую информацию или учетные данные пользователей. Вместо этого они загрузили майнер криптовалюты.
Попытка майнинга вызвала нагрузку процессоров и перегрузила большинство компьютерных систем, немедленно предупредив специалистов о проблеме. Разработчики Ghost отключили все серверы, исправили системы и через несколько часов снова возобновили их работу.
По словам некоторых специалистов, атаки, скорее всего, проводились с помощью автоматического сканера уязвимостей, который обнаруживал устаревшие Salt-серверы, а затем автоматически эксплуатировал две уязвимости для установки вредоносного ПО.
«Вполне возможно, что виновники данных атак даже не знают, какие компании они взламывают в настоящее время. Уязвимые Salt-серверы зафиксированы в банках, web-хостингах и компаниях из списка Fortune 500», — сообщили эксперты.
Компания Saltstack, разработавшая программное обеспечение Salt, уже выпустила исправления для данных уязвимостей. В настоящее время в интернете обнаружено около 6 тыс. уязвимых Salt-серверов.
