Llegamos a ustedes gracias a:



Alertas de Seguridad

Los servidores en la nube fueron hackeados

A través de vulnerabilidades críticas de SaltStack

[04/05/2020] Los atacantes están explotando dos vulnerabilidades críticas reveladas a finales de la semana pasada en el popular software de automatización de infraestructuras SaltStack para tomar el control de los servidores. Varias organizaciones y proyectos de código abierto ya tenían sus servidores hackeados, y tuvieron que cerrar los servicios durante el fin de semana.

Los ataques comenzaron un par de días después de que las vulnerabilidades fueran divulgadas públicamente sin que estuviera disponible un exploit de prueba de concepto, lo que pone de relieve que los equipos de operaciones de TI tienen muy poco tiempo para reaccionar cuando se conocen las fallas, y deben confiar cada vez más en la aplicación de parches automatizados.

Las vulnerabilidades de Salt

El 30 de abril, los investigadores de la empresa de seguridad F-Secure publicaron un aviso sobre dos vulnerabilidades -CVE-2020-11651 y CVE-2020-11652- encontradas en Salt, un popular marco de trabajo de código abierto basado en Python que se utiliza para automatizar las tareas, la recopilación de datos, la configuración y las actualizaciones de los servidores en centros de datos privados o en la nube. La arquitectura de Salt implica el uso de un servidor maestro donde los administradores pueden definir las tareas, y los clientes llamados "secuaces" que las ejecutan.

"Las vulnerabilidades descritas en este aviso permiten a un atacante que se puede conectar al puerto del 'servidor de peticiones', eludir todos los controles de autenticación y autorización y publicar mensajes de control arbitrarios, leer y escribir archivos en cualquier lugar del sistema de archivos del servidor 'maestro', y robar la clave secreta que se utiliza para autenticarse con el maestro como root", señalaron los investigadores de F-Secure. "El impacto es la completa ejecución de comandos remotos como root tanto en el maestro como en todos los secuaces que se conectan a él".

F-Secure publicó su aviso un día después de que SaltStack, la empresa que mantiene Salt, publicara las versiones 3000.2 y 2019.2.4 del marco de trabajo para abordar los problemas. Aunque decidieron retener el código de explotación de la prueba de concepto para dar más tiempo a los usuarios, los investigadores de F-Secure advirtieron en su momento que "cualquier hacker competente será capaz de crear exploits 100% fiables para estos problemas en menos de 24 horas". La empresa también advirtió que, basándose en los escaneos de Internet, más de seis mil servidores maestros de Salt estaban expuestos directamente a Internet y podían ser objetivo directo.

Los informes de explotación de Salt empiezan a llegar

Durante el fin de semana, los expertos en seguridad informaron en Twitter que estaban viendo intentos de explotación de las vulnerabilidades de Salt. La confirmación de los compromisos exitosos comenzó entonces a llegar de diferentes organizaciones.

El Proyecto LineageOS, que mantiene la popular comunidad de firmware Android del mismo nombre, tuvo que bajar todos sus servidores, incluyendo su sitio web, servidor de correo, wiki, gerrit, servidores de descarga y espejos.

Ghost, una plataforma de blogs que mantiene una solución de publicación de contenidos de código abierto basada en Node.js, también fue golpeada y tuvo que retirar los servidores de la red, lo que afectó a su servicio Ghost (Pro) y a la facturación de Ghost.org, aunque no se vio afectada la información de la tarjeta de pago ni las credenciales en texto plano.

"Nuestra investigación indica que una vulnerabilidad crítica en nuestra infraestructura de gestión de servidores (Saltstack, CVE-2020-11651 CVE-2020-11652) fue utilizada en un intento de minar la criptografía en nuestros servidores", señaló la compañía en su página de estado. "El intento de minería disparó las CPU y rápidamente sobrecargó la mayoría de nuestros sistemas, lo que nos alertó sobre el problema inmediatamente".

Algunos sitios de clientes del servicio Ghost (Pro) sufrieron inestabilidad en la red, en parte debido a los nuevos firewalls introducidos en respuesta al ataque. La empresa también realizó un ciclo de todas las sesiones, contraseñas y claves y reprogramó sus servidores.

La autoridad de certificación DigiCert informó que uno de sus registros de transparencia de certificados se vio afectado después de que los atacantes utilizaran los exploits de Salt para comprometer un servidor maestro de Salt. La transparencia de los certificados es una norma utilizada por las autoridades de certificación para anunciar públicamente los certificados digitales que emiten. Los registros están firmados digitalmente, y están destinados a ser utilizados por monitores externos para detectar certificados potencialmente fraudulentos.

"Me entristece informar que hoy descubrimos que la clave del Log 2 [de Transparencia de Certificados] utilizada para firmar los SCT fue comprometida anoche a las 7 pm a través de la vulnerabilidad de Salt", indicó Jeremy Rowley, vicepresidente de DigiCert para el desarrollo de productos, en una lista de correo de la industria. "Aunque no creemos que la llave haya sido usada para firmar SCT (el atacante no parece darse cuenta de que obtuvieron acceso a las llaves y estaban ejecutando otros servicios en la infraestructura), cualquier SCT proporcionado desde ese registro después de las 7 pm MST de ayer es sospechoso. El registro debe ser sacado de la lista de registros de confianza".

Hasta ahora los ataques tenían el objetivo de desplegar malware de minería de criptografía en los servidores, pero Salt es una herramienta muy poderosa y, como muestran los incidentes reportados, los atacantes podrían haber usado las hazañas para hacer mucho más, incluyendo el robo de datos sensibles.

Parchee a Salt lo antes posible

El lunes, SaltStack publicó una entrada en su blog en la que instaba a todos los usuarios a actualizar sus servidores maestros de Salt y a restringir el acceso directo a ellos desde Internet, como se recomienda en su guía. "Un escaneo de la empresa de seguridad que identificó la vulnerabilidad encontró aproximadamente seis mil maestros de Salt expuestos a Internet y vulnerables", anotó Moe Abdula, vicepresidente senior de ingeniería de SaltStack, en una entrada del blog. "Aunque esta es una porción muy pequeña de la base instalada de Salt, consideramos que es una de más".