安全是有分量的

高防ddos_山西云盾_免费试用

2022-06-28 08:00栏目:安全

高防ddos_山西云盾_免费试用

黑客本周末一直忙于利用各种基础设施中使用的易受攻击的Salt实例进行服务器管理和自动化。

在宣布入侵的组织中有天堂OS、Vates(开源Xen Orchestration的创建者)、Ghost博客平台和DigiCert。数百台服务器,包括主服务器和客户端(仆从),可能在此时遭到破坏。

3000.2和2019.2.4之前的Salt版本易受CVE-2020-11651和CVE-2020-11652的影响。F-Secure上周披露了这两个漏洞,称"任何称职的黑客"都需要不到24小时的时间开发出100%可靠的漏洞。

第一种方法使攻击者能够使用主发布服务器上的命令对消息进行排队,并获取用于验证主服务器上本地根用户命令的根密钥。

CVE-2020-11652是一个路径遍历漏洞,允许读取目标目录之外的文件。结合CVE-2020-11651,它允许未经身份验证的攻击者在任何地方读取和写入访问权限,并窃取密钥以root身份向主服务器进行身份验证。

由于漏洞代码的创建非常简单,这家网络安全公司为了保护那些修补速度较慢的公司,避免发布漏洞代码。然而,公共空间出现了几个版本(1、2、3、4),这通常意味着更多的攻击即将到来。

在攻击开始后的两天内,超过120条评论被张贴在Salt的bug页面上,其中许多描述了入侵迹象以及如何阻止服务器上的非法活动。

值得一提的是,杀死攻击者的进程可能还不够,高防防御cc,可能需要重新安装服务器。建议立即修补;Salt可以设置为从官方SaltStack存储库自动获取更新。

在不可能的情况下,F-Secure表示应设置网络安全控制以限制对salt主服务器的访问(在默认端口4505和4506上)。还建议阻止来自公共互联网的访问。

美国CERT还警告了问题的严重性,并鼓吹"尽快更新Salt以保护您的基于云的服务器!"SaltStack提供了保护和硬化盐环境的技巧。

在某些情况下,防御webcc攻击,利用最近的Salt漏洞是Kinsing/H2Miner僵尸网络(专注于云环境)加密货币挖掘活动的一部分。矿工(XMRig)以"盐奴才"、"盐奴才贝克"和"盐店"的名义运营至少有两个样本,其中一个检测率较低(1,2)。

在今天的推文中,恶意软件分析公司Intezer确认H2Miner正在使用F-Secure报告的两个漏洞攻击SaltStack实例。他们说它曾经托管在Bitbucket上,与以前的示例没有太大区别。

上周六晚上,针对定制安卓操作系统天堂OS主基础设施的攻击发生,迫使管理员将所有服务离线。在接下来的几个小时里,团队致力于评估损坏并修复它们。

在撰写本文时,只有两项服务仍然受到影响,即stats和builds,尽管后者由于一个不相关的问题自4月30日起已暂停,因此黑客没有影响它们。这起事件的最终目标尚未公布。

周日,DigiCert产品执行副总裁杰里米·罗利(Jeremy Rowley)报告称,黑客破坏了用于签署证书时间戳(SCT)的证书透明日志2密钥。

"我们现在正在将日志拉入只读模式,"Rowley告知。没有迹象表明攻击者在SCT上使用了密钥,很可能是因为他们不知道自己可以访问该密钥。相反,他们开始在服务器上运行其他服务。

即便如此,Rowley说,在违规发生后,任何来自该日志的SCT都是可疑的,应该将该日志从受信任列表中删除。他还详细说明,黑客能够访问CT日志2,因为它是传统的基础设施,在部署时没有在专用网络上运行。

CT日志2计划于5月1日关闭。它收到了一个扩展,因为一些客户端仍然需要它。其遗留状态也意味着其与其他CT日志分开运行。

访问CT不会影响证书,因为日志是在独立于证书颁发机构操作的环境下操作的。

博客平台Ghost是黑客利用Salt漏洞的另一个受害者,它的服务也随之崩溃。周日,它通知说,这起违规事件影响了Ghost(Pro)和Ghost。组织计费服务。

调查显示,信用卡信息未受到影响,并且"没有直接证据表明私人客户数据、密码或其他信息已被泄露。"

在确定安全问题及其对Ghost服务的影响后,平台告知攻击的目的是加密货币挖掘。通知中写道:"采矿尝试使CPU出现峰值,并迅速使我们的大多数系统过载,这立即提醒了我们这个问题。"Ghost表示,阿里ddos防御价格,它清除了硬币采矿机的所有痕迹,其系统目前稳定,没有发现其他问题。

周日晚上,黑客利用Salt漏洞制造了另一个受害者Xen Orchestral,该平台提供了管理Citrix Hypervisor(XenServer)和全面了解基础设施的工具。

攻击是在基础设施上的一部分服务几乎同时无法访问之后开始的。另一个症状是高CPU‌ 用法,请阅读Xen Orchestration的安全报告。

该公司发现,入侵的目的是通过流氓盐奴才流程在虚拟机上运行硬币采矿机。深入挖掘后,研究人员发现,有效载荷是"盐库"的一个版本,它运行"相当基本"的任务,专门用于更高效的采矿,并且不是持久性的。