Días después de que los investigadores de seguridad cibernética hicieran sonar la alarma sobre dos vulnerabilidades críticas en el marco de configuración de SaltStack, ya comenzó una campaña de piratería que explota las fallas para violar los servidores de LineageOS, Ghost y DigiCert.
rastreado como CVE-2020-11651 y CVE-2020-11652, las fallas reveladas podrían permitir que un adversario ejecute código arbitrario en servidores remotos implementados en centros de datos y entornos de nube. SaltStack solucionó los problemas en un comunicado publicado el 29 de abril.
«Esperamos que cualquier pirata informático competente pueda crear exploits 100% confiables para estos problemas en menos de 24 horas», advirtieron previamente los investigadores de F-Secure en un aviso la semana pasada.
LineageOS, un fabricante de un sistema operativo de código abierto basado en Android, dijo que detectó la intrusión el 2 de mayo alrededor de las 8 p. m., hora del Pacífico.
«Alrededor de las 8 p.m. PST del 2 de mayo de 2020, un atacante usó un CVE en nuestro maestro SaltStack para obtener acceso a nuestra infraestructura», señaló la compañía en su informe de incidentes, pero agregó que las compilaciones de Android y las claves de firma no se vieron afectadas por la violación.
Ghost, una plataforma de blogs basada en Node.js, también fue víctima de la misma falla. En su página de estado, los desarrolladores señalaron que «alrededor de la 1:30 a. m. UTC del 3 de mayo de 2020, un atacante usó un CVE en nuestro maestro SaltStack para obtener acceso a nuestra infraestructura» e instaló un minero de criptomonedas.
«El intento de minería disparó las CPU y sobrecargó rápidamente la mayoría de nuestros sistemas, lo que nos alertó sobre el problema de inmediato», agregó Ghost.
Ghost, sin embargo, confirmó que no había evidencia de que el incidente pusiera en peligro los datos, las contraseñas y la información financiera de los clientes.
Tanto LineageOS como Ghost han restaurado los servicios después de desconectar los servidores para parchear los sistemas y protegerlos con un nuevo firewall.
En un desarrollo separado, la vulnerabilidad de Salt también se usó para piratear la autoridad de certificación DigiCert.
«Descubrimos hoy que la clave de CT Log 2 utilizada para firmar SCT (marcas de tiempo de certificados firmados) se vio comprometida anoche a las 7 p.m. a través de la vulnerabilidad de Salt», dijo el vicepresidente de producto de DigiCert, Jeremy Rowley, en una publicación de Google Groups realizada el domingo.
En una conversación por correo electrónico con The Hacker News, DigiCert también dijo que está desactivando su servidor de registro CT 2 luego del incidente, pero aclaró que los otros registros de transparencia de certificados, CT 1, Yeti y Nessie no se vieron afectados.
«El 3 de mayo, DigiCert anunció que desactivará su servidor de registro Certificate Transparency (CT) 2 después de determinar que la clave utilizada para firmar SCT puede haber estado expuesta a través de vulnerabilidades SALT críticas», dijo la compañía.
«No creemos que la clave se haya utilizado para firmar SCT fuera del funcionamiento normal del registro de CT, aunque como precaución, las CA que recibieron SCT del registro de CT2 después del 2 de mayo a las 5 p. m. MST deben recibir una SCT de otro registro de confianza. Tres «otros registros CT de DigiCert: CT1, Yeti y Nessie, no se ven afectados, ya que se ejecutan en una infraestructura completamente diferente. Los impactos se limitan solo al registro CT2 y a ninguna otra parte de los sistemas CA o CT Log de DigiCert».
Con la alerta de F-Secure que revela más de 6000 servidores vulnerables a Salt que pueden explotarse a través de esta vulnerabilidad, si no se reparan, se recomienda a las empresas que actualicen los paquetes de software de Salt a la última versión para resolver las fallas.