Au cours des dernières 24h, une campagne de piratages fait rage et des dizaines d’entreprises sont concernées. Les hackers sont de plus en plus rusés. Ces derniers ont analysé sans relâche les différents processus utilisés par ces entreprises. Ils ont finalement repéré SaltStack, un logiciel utilisé par de nombreuses sociétés dans le monde pour gérer et automatiser les serveurs dans les datacenters, le cloud, et les réseaux internes.
Ensuite, les acteurs malveillants ont exploité deux failles de sécurité pour accéder aux serveurs gérés par Salt et déployer un logiciel de minage de cryptomonnaie. Parmi ces entreprises victimes, on retrouve le système d’exploitation mobile LineageOS, et désormais le CMS Ghost. Cette plateforme permettant de créer des blogs se présente comme une alternative à WordPress, mais au lieu d’utiliser PHP, Ghost est conçu avec Node.js.
Sur une page d’information ouverte pour l’occasion, l’équipe de Ghost a déclaré avoir détecté une intrusion dans leur infrastructure backend vers 1h30 UTC. La dernière mise à jour de cette page évoque : “Nos configurations supplémentaires de pare-feu fonctionnent maintenant comme prévu. Tous les problèmes de connectivité ont été résolus et les sites des clients se chargent à nouveau normalement.
Nous continuons à surveiller de près tous les systèmes, tout en travaillant avec soin à l’enregistrement de toutes les sessions, mots de passe et clés sur chaque service concerné, par mesure de précaution. Nous vous communiquerons d’autres mises à jour dès que nous aurons plus d’informations. Un correctif a été mis en œuvre et nous en surveillons les résultats.”
Selon les équipes Ghost, ces hackers ne voulaient rien dérober, puisqu’ils ont eu accès aux sites Ghost(Pro) et aux services de facturation de Ghost.org, et ils n’ont volé aucune information financière ni aucun identifiant d’utilisateur. Ces derniers ont préféré installer des mineurs de cryptomonnaie.
Les développeurs Ghost explique : “La tentative de mining a provoqué une surcharge des serveurs et a rapidement surchargé la plupart de nos systèmes, ce qui nous a immédiatement alerté sur le problème”.
Comme LineageOS l’a fait quelques heures auparavant, les développeurs Ghost ont dû démonter tous les serveurs, patché les systèmes, pour pouvoir finalement les redéployer après quelques heures.
De nombreuses autres attaques similaires ont été signalées sur un thread GitHub. Saltstack, la société à l’origine du logiciel, a publié des correctifs afin de remédier aux deux failles de sécurité. Désormais, il est fortement conseillé aux entreprises de corriger les serveurs gérés par Salt ou de les sécuriser derrière un pare-feu. Il y aurait actuellement près de 6 000 serveurs Salt exposés sur Internet.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Plus de peur que de mal, mais il faudrait qua d même vérifier que les logiciels ne comportent pas de failles avant de les installer.