My SaltStack Honeypots have had 180 connection attempts since May 3rd. About 80% of those attributed to the same attacker. There are others sending other payloads pic.twitter.com/JWbCAFWA8T

— KevTheHermit (@KevTheHermit) May 6, 2020

Ранее на этой неделе мы рассказали о двух уязвимостях, обнаруженных во фреймворке SaltStack Salt. Сразу две критические проблемы (CVE-2020-11651 и CVE-2020-11652) в составе SaltStack Salt обнаружили специалисты компании F-Secure, и обе они позволяли выполнить произвольный код. В настоящее время патчи для опасных багов уже доступны, но еще недавно в сети можно обнаружить более 6000 потенциально уязвимых систем, а эксплуатация уязвимостей оказалась очень проста. Так как SaltStack Salt широко используется в дата-центрах и облачных серверах, эксперты F-Secure предупреждали о том, что грядут большие проблемы. К сожалению, их предостережения полностью оправдываются: при помощи этих уязвимостей уже была атакована инфраструктура LineageOS, блогинговая платформа Ghost, удостоверяющий центр Digicert, а также Xen Orchestra. Теперь же стало известно об атаке на поисковый сервис Algolia, который предоставляет поисковые услуги крупным сайтам (в том числе Twitch, Hacker News, Stripe). Компания сообщила, что взлом произошел в прошлое воскресенье, 3 мая 2020 года, и практически сразу был обнаружен. Скомпрометировав инфраструктуру Algolia, хакеры установили бэкдор и криптовалютный майнер на несколько серверов, но сообщается, что в целом инцидент не оказал существенного влияния на работу компании. Дело в том, что инженеры Algolia обнаружили компрометацию, удалили вредоносное ПО, отключили уязвимые серверы и восстановили обслуживание клиентов за считанные минуты. Таким образом, 15 кластеров 700 (примерно 2%) не работали около 5 минут, а простой еще 6 кластеров (менее 1%) длился всего 10 минут. «Анализируя полезные нагрузки, выполняемые данным вредоносным ПО, мы пришли к выводу, что единственной целью этой атаки была добыча криптовалюты, а не сбор, изменение, уничтожение или повреждение данных», — гласит официальное заявление компании. Судя по всему, все вышеперечисленные инциденты – дело рук операторов ботнета Kinsing. Так, издание ZDNet ссылается на собственные источники в ИБ-сообществе и пишет, что операторы Kinsing были первыми, кто начал эксплуатировать уязвимости в SaltStack Salt. Они устанавливают бэкдоры и разворачивают майнеры на взломанных серверах. В настоящее время ботнет все еще продолжает свои атаки, но теперь проблемы в SaltStack Salt стали использовать и другие хак-группы. ИБ-специалисты прогнозируют, что в ближайшие недели атаки будут только усиливаться, так как PoC-эксплоиты для уязвимости обхода аутентификации (CVE-2020-11651) уже опубликованы на GitHub сразу несколькими пользователями (1, 2, 3, 4 ). My SaltStack Honeypots have had 180 connection attempts since May 3rd. About 80% of those attributed to the same attacker. There are others sending other payloads pic.twitter.com/JWbCAFWA8T — KevTheHermit (@KevTheHermit) May 6, 2020