Angriffe auf Salt, LineageOS, Ghost und Digicert

Hacker nutzen Schwachstellen aus, um Systeme zu attackieren. Im Blickpunkt stehen aktuell der SaltStack, das Handy-Betriebssystem LineageOS, die Bloggerplattform Ghost und der Zertifizierungsanbieter Digicert.

Sicherheitsforscher des finnischen Security-Spezialisten F-Secure haben Schwachstellen in der Management-Plattform Salt von Saltstack aufgedeckt. Mittlerweile hat Salt einen Patch entwickelt, der die Sicherheitslücken behebt. Wie immer in solchen Fällen sollten Administratoren den neuen Patch unverzüglich installieren, um vor Angriffen gefeit zu sein.

Die Schwachstellen sind in SaltStack Salt Versionen vor 2019.2.4 und 3000.2 vorhanden. Server, auf denen Salt läuft, verfügen über einen „Minion“-API-Agenten, der eine Verbindung zu einer „Master“-Installation der Software herstellt. Berichte über den Zustand von Minion-Servern werden an den Master-Knoten gesendet, der seinerseits in der Lage ist, Aktualisierungsnachrichten wie Konfigurationsänderungen zu veröffentlichen, die auf alle von ihm verwalteten Server ausgerollt werden können. Das verwendete Kommunikationsprotokoll ist ZeroMQ, von dem zwei Instanzen – die „Request“- und „Publish“-Server – exponiert sind.

Der erste Fehler CVE-2020-11651 erlaubt es die  Authentisierung zu umgehen, während der zweite Fehler CVE-2020-11652 eine Sicherheitslücke bei der Verzeichnisdurchquerung ist. CVE-2020-11651 wurde durch die ClearFuncs-Klasse verursacht, die die _send_pub()- und _prep_auth_info()-Methoden offenlegt. Nachrichten können verwendet werden, um Minions zur Ausführung beliebiger Befehle zu veranlassen und der Root-Schlüssel kann auch abgerufen werden, um administrative Befehle auf dem Master-Server aufzurufen. CVE-2020-11652 bezieht sich auf das Salt Wheel-Modul, das Befehle für Lese-/Schreibfunktionen unter bestimmten Verzeichnispfaden enthält.

Zusammen erlaubten beide Fehler den Angreifern, sich mit Request-Server-Ports zu verbinden, um Authentifizierungsprüfungen zu umgehen und beliebige Nachrichten zu veröffentlichen sowie auf das vollständige Dateisystem eines Master-Servers zuzugreifen, den Schlüssel zu stehlen, der zur Authentifizierung gegenüber Master-Servern als Root verwendet wird, und Code nicht nur auf dem Master-System, sondern auf allen mit dem Framework verbundenen Minions ferngesteuert auszuführen. F-Secure fand über 6.000 Fälle von potenziell anfälligen Systemen.

Bei der zweiten größeren Schwachstelle geht es um das Handy-Betriebssystem LineageOS, eine Android-Variante. Die Angreifer nutzten dabei die Probleme im Salt Stack aus. Die Experten von Lineage reagieren schnell auf die Sicherheitslücke und stellten binnen drei Stunden einen Patch bereit.

Ebenfalls ein Kollateralschaden der Salt-Lücke ist die Blogger-Plattform Ghost, eine Alternative zu WordPress. Hacker übernahmen den Salt Master Server und Ghost wurde mit einem Crypto-Miner infiziert. Am 4. Mai gelang es dem Team von Ghost, den Crypto-Miner zu entfernen und die Sicherheitslücke zu schließen.

Auch die Zertifizierungsplattform Digicert wurde von Salt in Mitleidenschaft gezogen. Die Keys des CT Log 2 sind für alle Daten ab dem 2. Mai nicht mehr vertrauenswürdig. Das Unternehmen arbeitet noch an einer Lösung.

Alle Anwender von Salt sollten unverzüglich ihre Systeme überprüfen, ob auch sie angegriffen worden sind.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Cryptojacking, Digicert, F-Secure, Ghost, Hacker, Lineage, Salt

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Angriffe auf Salt, LineageOS, Ghost und Digicert

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *