Преступники установили бэкдор и криптовалютный майнер на нескольких серверах.
https://www.securitylab.ru/upload/ib...00b85dd0a0.png
Поисковый сервис Algolia https://blog.algolia.com/salt-incide...ve-and-update/о взломе, в ходе которого злоумышленники проэксплуатировали уязвимость в программном обеспечении для настройки серверов Salt и получили доступ к инфраструктуре сервиса. Преступники установили бэкдор и криптовалютный майнер на нескольких серверах, но их действия не оказали существенного влияния на работу компании.
Вторжение было обнаружено сразу после того, как специалисты получили серверные уведомления об отключении функции поиска и индексации у ряда клиентов. Специалисты удалили вредоносное ПО, отключили уязвимые серверы и быстро восстановили обслуживание клиентов, для большинства из которых простой длился не более 10 минут. По словам экспертов, единственной целью атаки был майнинг криптовалюты, а не сбор, изменение, уничтожение или повреждение данных.
Как сообщили в Algolia, взлом произошел в воскресенье, 3 мая. Время атаки совпадает с другими взломами, о которых сообщили https://www.securitylab.ru/news/508040.php, https://www.securitylab.ru/news/508041.php, Digicert, Xen Orchestra и другие небольшие компании. Предположительно, атака на Algolia была совершена операторами ботнета Kinsing, стоящими за всеми вышеупомянутыми инцидентами.
Операторы Kinsing были первыми, кто проэксплуатировал уязвимости обхода аутентификации ( https://www.securitylab.ru/vulnerability/508030.php ) и обхода каталога ( https://www.securitylab.ru/vulnerability/508030.php ) в Salt с целью перехватить контроль над главными серверами. Предположительно, количество атак в ближайшее время увеличится, так как PoC-код для уязвимости обхода аутентификации (CVE-2020-11651) был https://github.com/0xc0d/CVE-2020-11651на GitHub несколькими пользователями.
Компания Saltstack, разработавшая программное обеспечение Salt, уже выпустила исправления для данных уязвимостей. В настоящее время в интернете обнаружено около 6 тыс. уязвимых Salt-серверов.