auf der Krypto
Eine Gruppe von Hackern installierte Verschlüsselungs-Malware auf einem Unternehmensserver, nachdem sie eine Schwachstelle in Salt entdeckt hatte, einem beliebten Infrastruktur-Tool, das von Unternehmen wie IBM, LinkedIn und eBay verwendet wird.
Der Angriff auf Salt
Die Blogging-Plattform Ghost sagte am Sonntag, ein Angreifer habe erfolgreich ihre Salt-basierte Serverinfrastruktur infiltriert und einen Krypto-Mining-Virus verbreitet.
„Die von uns durchgeführte Untersuchung zeigt, dass eine kritische Schwachstelle in unserer Serververwaltungsinfrastruktur ausgenutzt wurde, um über unsere Server Kryptowährungen zu schürfen“, heißt es in einem Vorfallbericht.
„Der Mining-Versuch erhöhte die CPU-Auslastung und überlastete schnell die meisten unserer Systeme, was uns sofort auf das Problem aufmerksam machte.“ Ghost sagte, die Entwickler hätten am Montag die Mining-Malware von ihren Servern entfernt und neue Firewall-Konfigurationen hinzugefügt.
Derzeit sind mehr als 6.000 Salt-Server online offengelegt, die durch diese Schwachstelle gefährdet sein können, wenn sie nicht rechtzeitig behoben wird. Patches für die Schwachstellen von Salt wurden Anfang dieser Woche veröffentlicht. Salt-Server sollten normalerweise hinter einer Firewall bereitgestellt werden und nicht dem Internet ausgesetzt sein.
Sogar Android ist im Visier von Hackern
Salt ist ein von SaltStack entwickeltes Open-Source-Framework, das wichtige Teile von Unternehmensservern verwaltet und automatisiert. Kunden, darunter IBM Cloud, LinkedIn und eBay, verwenden Salt, um Server zu konfigurieren, Nachrichten vom „Hauptserver“ weiterzuleiten und Befehle zu einem bestimmten Zeitpunkt zu senden.
SaltStack machte Kunden vor einigen Wochen darauf aufmerksam, dass es in der neuesten Version eine „kritische Sicherheitslücke“ gebe, die es „einem Remote-Benutzer ermöglichte, sich ohne Authentifizierung anzumelden“ und „willkürlichen Verzeichniszugriff“ ermöglichte Investoren authentifiziert".
SaltStack hat am 23. April außerdem ein Software-Update veröffentlicht, um den Fehler zu beheben. Das mobile Android-Betriebssystem LineageOS gab an, dass sich Hacker über denselben Fehler auch Zugang zu seiner Kerninfrastruktur verschafft haben, der Verstoß wurde jedoch schnell entdeckt.
Haben die Hacker ihr Ziel erreicht?
In einem Bericht vom Sonntag gab das Unternehmen zu, die Salt-Software nicht aktualisiert zu haben. Ob dieselbe Gruppe hinter den LineageOS- und Ghost-Angriffen steckt, ist unbekannt. Bei einigen Angriffen wurde Krypto-Mining-Software installiert, bei anderen installierten die Hacker Hintertüren auf den Servern.
Es ist unklar, ob die Hacker eine bestimmte Kryptowährung geschürft haben. Hackergruppen bevorzugen im Allgemeinen Monero (XMR), da es nur mit Allzweck-CPUs und nicht mit dedizierten Mining-Chips geschürft werden kann und mit geringem Entdeckungsrisiko gehandelt werden kann.
Und haben Sie eine Anomalie in Ihren Android-Konten oder Smartphones festgestellt? Lassen Sie es uns in den Kommentaren unten wissen und teilen Sie uns Ihre Sicht auf diese Geschichte mit.
