Uma dupla de vulnerabilidades críticas encontradas recentemente no Saltstack — software de gerência, automação e configuração de servidores, serviços e contêineres — acabou resultando em uma campanha de invasão à diversas plataformas online que, até então, tinham como principal atrativo o fato de serem seguras. Uma delas é a Ghost, plataforma de gerenciamento de conteúdo (CMS) utilizada para hospedar este portal da The Hack; a ferramenta também tem clientes famosos como Tinder, DuckDuckGo e até CloudFlare.
Segundo a própria companhia, por volta das 1h30 do último domingo (3), ou cerca de 22h30 do sábado (2) no horário de Brasília, um atacante explorou tais brechas para ganhar acesso às suas infraestruturas, com o aparente objetivo de minerar criptomoedas. O pico no uso dos recursos computacionais gerou instabilidades em todos os sites hospedados no serviço e causou estranheza na equipe de TI do Ghost, que rapidamente aplicou as correções necessárias e firewalls adicionais.
Leitores da The Hack que tentaram acessar nosso website entre domingo e a tarde de ontem (4) encontraram problemas, se deparando com uma página de erro 404 em vez de visualizar a home do portal, especialmente via dispositivos móveis. Os sistemas só foram normalizados no final desta segunda-feira, e, de acordo com a equipe da Ghost, os atacantes não acessaram dados pessoais ou informações financeiras (como números de cartões de crédito).
A The Hack ressalta que os nomes, emails e outras informações pessoais dos assinantes de sua newsletter são armazenadas em outro ambiente, e não no Ghost; desta forma, jamais estiveram sequer em risco.
Outros afetados
O CMS não foi a única vítima das vulnerabilidades: o LineageOS, projeto de SO móvel de código aberto com base no Android, também sofreu um “apagão”, impedindo que seus usuários visualizassem seu site oficial, wiki e portal de download das ROMS. Felizmente, os agentes maliciosos não corromperam as compilações do SO e tampouco acessaram as chaves utilizadas para “assinar” os softwares distribuídos em seu marketplace oficial.
Por fim, a DigiCert, autoridade certificadora, também foi vítima da campanha e os atacantes obtiveram acesso a uma das chaves usadas para assinar certificados, mas não usufruíram desse privilégio. De qualquer forma, a companhia está revendo manualmente todos os certificados emitidos ao longo do ataque para garantir que não houve fraudes.
Ambas as vulnerabilidades no Saltstack (CVE-2020-11651 e CVE-2020-11652) permitem que um agente malicioso execute códigos arbitrariamente em servidores remotos e ambientes na nuvem. Uma atualização corretiva já estava disponível desde o dia 29 de abril (3000.2), mas, de acordo com os pesquisadores da F-Secure, companhia finlandesa que descobriu as falhas, cerca de 6 mil servidores continuam expostos às brechas.
Fontes: Ghost, LineageOS, F-Secure, The Hacker News