op de crypto
Een groep hackers installeerde cryptografische malware op een bedrijfsserver nadat ze een zwakke plek in Salt hadden geïdentificeerd, een populaire infrastructuurtool die wordt gebruikt door onder meer IBM, LinkedIn en eBay.
De aanval op Salt
Ghost-blogplatform zei dat een aanvaller afgelopen zondag met succes zijn serverinfrastructuur in Salt was binnengedrongen en een cryptomining-virus had ingezet.
"Het onderzoek dat we uitvoeren geeft aan dat een kritieke kwetsbaarheid binnen onze serverbeheerinfrastructuur is gebruikt in een poging om cryptocurrency via onze servers te extraheren", luidt een incidentrapport.
"De mijnpoging verhoogde de CPU's en overlaadde de meeste van onze systemen snel, wat ons meteen op het probleem attent maakte." Ghost zei dat ontwikkelaars maandag de mining-malware van hun servers hebben verwijderd en nieuwe firewall-configuraties hebben toegevoegd.
Er zijn momenteel meer dan 6.000 Salt-servers online blootgesteld die door dit beveiligingslek kunnen worden gehackt als ze niet snel worden gewijzigd. De kwetsbaarheidspatches van Salt zijn eerder deze week uitgebracht. Salt-servers moeten normaal gesproken achter een firewall worden geïmplementeerd en mogen niet op internet worden weergegeven.
Zelfs Android in het oog van hackers
Salt is een open source framework ontwikkeld door SaltStack dat belangrijke onderdelen van bedrijfsservers beheert en automatiseert. Klanten, waaronder IBM Cloud, LinkedIn en eBay, gebruiken Salt om servers te configureren, berichten van de "hoofdserver" door te sturen en opdrachten op een specifiek tijdstip te verzenden.
SaltStack waarschuwde klanten een paar weken geleden dat er in de nieuwste versie een "kritieke kwetsbaarheid" was opgetreden waardoor "een externe gebruiker zich zonder authenticatie kon aanmelden" en "willekeurige maptoegang tot Investeerders geverifieerd. "
SaltStack heeft op 23 april jl. Ook een software-update uitgebracht om het defect te verhelpen. Het mobiele besturingssysteem Android LineageOS beweerde dat hackers via dezelfde fout ook toegang hadden tot de hoofdinfrastructuur, maar de schending werd snel ontdekt.
Bereiken de hackers hun doel?
Zondag gaf het bedrijf toe dat het de Salt-software niet in een rapport had bijgewerkt. Het is niet bekend of dezelfde groep achter de LineageOS- en Ghost-aanvallen zit. Bij sommige aanvallen werd Crypto-mijnsoftware geïnstalleerd, terwijl hackers achterdeuren installeerden op servers in andere.
Het is niet duidelijk of de hackers een bepaalde cryptocurrency hebben geëxtraheerd. Hackinggroepen geven over het algemeen de voorkeur aan monero (XMR), omdat het alleen kan worden geëxtraheerd met CPU's voor algemene doeleinden, niet met speciale mijnchips en kan worden uitgewisseld voor een laag detectierisico.
En je hebt een afwijking in je Android-accounts of smartphones gedetecteerd? Laat het ons weten in de reacties hieronder en geef ons uw mening over deze kwestie.
