Со слов разработчиков платформы для ведения блогов Ghost, киберпреступники эксплуатировали уязвимости обхода аутентификации (CVE-2020-11651) и обхода каталога (CVE-2020-11652) в Salt с целью получить контроль над главным сервером.
Преступники, имея возможность, однако, не похитили финансовую информацию или аккаунты пользователей. Но зато загрузили майнер криптовалюты.
Попытка майнинга вызвала нагрузку процессоров и перегрузила большинство систем. Разработчики Ghost немедленно отключили все серверы, исправили системы и через несколько часов возобновили их работу.
Кибератаки с высокой вероятностью проводились с помощью автоматического сканера уязвимостей, который обнаруживал устаревшие Salt-серверы и автоматически эксплуатировал две уязвимости для установки вредоноса.
«Вполне возможно, что виновники данных атак даже не знают, какие компании они взламывают в настоящее время. Уязвимые Salt-серверы зафиксированы в банках, web-хостингах и компаниях из списка Fortune 500», – сообщили специалисты.
