Hacker installano software di crypto mining sfruttando un difetto nel popolare server Framework Salt

Un gruppo di hacker ha installato malware di crittografia in un server aziendale dopo aver individuato un punto debole in Salt, un popolare strumento di infrastruttura utilizzato da enti del calibro di IBM, LinkedIn ed eBay.

L’attacco a Salt

La piattaforma di blogging Ghost ha detto che domenica scorsa un aggressore si è infiltrato con successo nella sua infrastruttura di server basata su Salt e ha distribuito un virus di cripto-mining.

“L’indagine che stiamo conducendo indica che una vulnerabilità critica all’interno della nostra infrastruttura di gestione dei server è stata utilizzata nel tentativo di estrarre criptovaluta tramite i nostri server”, si legge in un rapporto sull’incidente.

“Il tentativo di mining ha aumentato le CPU ed ha rapidamente sovraccaricato la maggior parte dei nostri sistemi, e questo ci ha immediatamente avvisati del problema.” Ghost ha affermato che gli sviluppatori lunedì hanno rimosso il malware di mining dai suoi server ed hanno aggiunto nuove configurazioni di firewall.

Attualmente ci sono più di 6.000 server Salt esposti online che possono essere violati tramite questa vulnerabilità, se non verranno modificati tempestivamente. Le patch per le vulnerabilità di Salt sono state rilasciate all’inizio di questa settimana. I server Salt dovrebbero normalmente essere implementati dietro un firewall e non essere esposti su Internet.

Anche Android nel mirino degli hacker

Salt è un framework open source, sviluppato da SaltStack, che gestisce e automatizza parti chiave dei server aziendali. I client, tra cui IBM Cloud, LinkedIn ed eBay, utilizzano Salt per configurare i server, inoltrare i messaggi dal “server principale” ed inviare comandi a un orario specifico.

SaltStack ha avvisato i clienti alcune settimane fa del fatto che si era verificata una “vulnerabilità critica” nell’ultima versione che consentiva a “un utente remoto di accedere senza autenticazione” e ha fornito “accesso arbitrario alla directory agli investitori autenticati”.

SaltStack ha inoltre rilasciato un aggiornamento software per correggere il difetto il 23 aprile scorso. Il sistema operativo mobile Android LineageOS ha affermato che gli hacker hanno avuto accesso anche alla sua infrastruttura principale tramite lo stesso difetto, ma la violazione è stata rapidamente rilevata.

Gli hacker avranno raggiunto il loro scopo?

Domenica, in un rapporto, la società ha ammesso di non aver aggiornato il software Salt. Non è noto se lo stesso gruppo sia dietro gli attacchi LineageOS e Ghost. In alcuni attacchi sono stati installati software di cripto mining, mentre in altri gli hacker hanno installato backdoor nei server.

Non è chiaro se gli hacker abbiano estratto una determinata criptovaluta. I gruppi di hacking generalmente favoriscono il monero (XMR), in quanto può essere estratto solo con CPU per scopi generici, non con chip di mining dedicati e può essere scambiato con un basso rischio di rilevamento.

E voi avete rilevato qualche anomalia nei vostri conti o smartphone Android? Fatecelo sapere nei commenti qui sotto e forniteci un vostro punto di vista su questa vicenda.