Les pirates installent un logiciel de cryptage minier en exploitant une faille dans le populaire serveur Salt Framework

Un groupe de pirates a installé un malware cryptographique sur un serveur d'entreprise après avoir identifié une faiblesse de Salt, un outil d'infrastructure populaire utilisé par IBM, LinkedIn et eBay.

L'attaque de Salt

La plate-forme de blogs Ghost a déclaré qu'un attaquant avait réussi à infiltrer son infrastructure de serveur basée sur Salt et à déployer un virus de crypto-extraction dimanche dernier.

"L'enquête que nous menons indique qu'une vulnérabilité critique au sein de notre infrastructure de gestion de serveurs a été utilisée pour tenter d'extraire des crypto-monnaies via nos serveurs", indique un rapport d'incident.

"La tentative de minage a augmenté les CPU et surchargé rapidement la plupart de nos systèmes, ce qui nous a immédiatement alerté du problème." Ghost a déclaré que les développeurs avaient supprimé lundi les logiciels malveillants miniers de ses serveurs et ajouté de nouvelles configurations de pare-feu.

Il existe actuellement plus de 6.000 XNUMX serveurs Salt exposés en ligne qui peuvent être piratés via cette vulnérabilité s'ils ne sont pas modifiés rapidement. Les correctifs de vulnérabilité de Salt ont été publiés plus tôt cette semaine. Les serveurs Salt doivent normalement être implémentés derrière un pare-feu et ne pas être exposés sur Internet.

Même Android aux yeux des pirates

Salt est un framework open source développé par SaltStack qui gère et automatise les parties clés des serveurs d'entreprise. Les clients, y compris IBM Cloud, LinkedIn et eBay, utilisent Salt pour configurer les serveurs, transférer les messages du "serveur principal" et envoyer des commandes à un moment précis.

SaltStack a averti les clients il y a quelques semaines qu'une "vulnérabilité critique" s'était produite dans la dernière version qui permettait "à un utilisateur distant de se connecter sans authentification" et offrait "un accès arbitraire à l'annuaire investisseurs authentifié ".

SaltStack a également publié une mise à jour logicielle pour corriger le défaut le 23 avril dernier. Le système d'exploitation mobile Android LineageOS a affirmé que les pirates avaient également accès à son infrastructure principale via le même défaut, mais la violation a été rapidement détectée.

Les pirates atteindront-ils leur objectif?

Dimanche, la société a admis qu'elle n'avait pas mis à jour le logiciel Salt dans un rapport. On ne sait pas si le même groupe est à l'origine des attaques LineageOS et Ghost. Le logiciel de minage cryptographique a été installé dans certaines attaques, tandis que les pirates ont installé des portes dérobées sur les serveurs dans d'autres.

Il n'est pas clair si les pirates ont extrait une certaine crypto-monnaie. Les groupes de piratage favorisent généralement le monero (XMR), car il ne peut être extrait qu'avec des CPU à des fins générales, pas avec des puces minières dédiées et peut être échangé contre un faible risque de détection.

Et vous avez détecté une anomalie dans vos comptes Android ou smartphones? Faites-le nous savoir dans les commentaires ci-dessous et donnez-nous votre point de vue à ce sujet.