Ghost博客系统官网被最新的SaltStack漏洞攻击并植入挖矿木马

Posted 2021-05-01 黑鸟

---

Saltstack是基于python开发的一套C/S架构配置管理工具。结合轻量级消息队列（ZeroMQ）与Python第三方模块（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）构建。

通过部署SaltStack环境，可以在成千上万台服务器上做到批量执行命令，根据不同业务特性进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等，SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。

因此，很多云主机商，私有云公司都会使用该工具进行管理。

而近日，F-Secure安全团队披露了SaltStack存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。

系统Github

https://github.com/saltstack/salt

在CVE-2020-11651认证绕过漏洞中，攻击者通过构造恶意请求，可以绕过Salt Master的验证逻辑，调用相关未授权函数功能，从而可以造成远程命令执行漏洞。

在CVE-2020-11652目录遍历漏洞中，攻击者通过构造恶意请求，读取服务器上任意文件。

在该漏洞被曝光后，今日传来消息，拥有安装量200万的开源博客平台Ghost的官网被黑客入侵。

Ghost博客网站用户包括火狐Mozilla，苹果，NASA和DuckDuckGo等知名客户，其注册用户为75万。

上午3:24（BST），该站点发布了服务更新，指出它正在调查中断原因，其称：2020年5月3日上午1:30左右，攻击者在我们的SaltStack主设备中使用最新漏洞来访问我们的基础结构。

黑客攻击影响了Ghost Pro网站和Ghost.org计费服务。但是，在调查的这一阶段，没有信用卡信息被泄露，也没有以纯文本形式存储任何用户凭据。

Ghost更新指出：“没有直接证据表明私人客户数据，密码或其他信息已受到破坏，所有会话，密码和密钥都处于循环状态，所有服务器都已重新配置。”

在1:46 pm（BST）发布的更新显示，早期调查显示，使用SaltStack漏洞试图在Ghost服务器上挖掘加密货币。它说：“采矿尝试使CPU数量激增，并迅速使我们的大多数系统超载，这立即提醒我们注意该问题。” 尚无证据表明尝试访问任何系统或数据。

此外腾讯安全威胁情报中心也发布了关于有黑产利用该漏洞进行挖矿的攻击所用的IOC信息，两起事件相关性极大，怀疑是同一个黑客组织，可用于参考。

挖矿木马md5

a28ded80d7ab5c69d6ccde4602eef861

8ec3385e20d6d9a88bc95831783beaeb

下载用URL

bitbucket.org/samk12dd/git/raw/master/salt-store

hxxp://217.12.210.192/salt-store

hxxp://217.12.210.192/sa.sh

hxxp://206.189.92.32/tmp/v

hxxp://206.189.92.32/tmp/salt-store

信息参考链接中的文章，侵权删除：

https://www.forbes.com/sites/daveywinder/2020/05/03/ghost-confirms-hack-attack-750000-users-spooked-by-critical-vulnerability/#7453c34a363e

https://labs.f-secure.com/advisories/saltstack-authorization-bypass

https://mp.weixin.qq.com/s/sVg9KcEv7fZoIRDyO1c2RQ

上期阅读