Преступники взломали поисковый сервис Algolia с помощью уязвимости в Salt

Поисковый сервис Algolia сообщил о взломе, в ходе которого злоумышленники проэксплуатировали уязвимость в программном обеспечении для настройки серверов Salt и получили доступ к инфраструктуре сервиса. Преступники установили бэкдор и криптовалютный майнер на нескольких серверах, но их действия не оказали существенного влияния на работу компании.

Вторжение было обнаружено сразу после того, как специалисты получили серверные уведомления об отключении функции поиска и индексации у ряда клиентов. Специалисты удалили вредоносное ПО, отключили уязвимые серверы и быстро восстановили обслуживание клиентов, для большинства из которых простой длился не более 10 минут. По словам экспертов, единственной целью атаки был майнинг криптовалюты, а не сбор, изменение, уничтожение или повреждение данных.

Как сообщили в Algolia, взлом произошел в воскресенье, 3 мая. Время атаки совпадает с другими взломами, о которых сообщили LineageOS , Ghost , Digicert, Xen Orchestra и другие небольшие компании. Предположительно, атака на Algolia была совершена операторами ботнета Kinsing, стоящими за всеми вышеупомянутыми инцидентами.

Операторы Kinsing были первыми, кто проэксплуатировал уязвимости обхода аутентификации ( CVE-2020-11651 ) и обхода каталога ( CVE-2020-11652 ) в Salt с целью перехватить контроль над главными серверами. Предположительно, количество атак в ближайшее время увеличится, так как PoC-код для уязвимости обхода аутентификации (CVE-2020-11651) был опубликован на GitHub несколькими пользователями.

Компания Saltstack, разработавшая программное обеспечение Salt, уже выпустила исправления для данных уязвимостей. В настоящее время в интернете обнаружено около 6 тыс. уязвимых Salt-серверов.