Sie haben Fragen?
Eine Sicherheitslücke in der Salt-Software ist aktuell ins Visier von Hackern geraten. Salt ist eine Open-Source-Software, mit der sich Serversysteme automatisch konfigurieren lassen. Sie ermöglicht es Administratoren, zentral von einem Gerät aus Software-Pakete auf mehrere verwaltete Server aufzuspielen und diese anzupassen. Ausgenutzt werden aktuell die Schwachstellen CVE-2020-11651 (eine Authentifizierungsumgehung) und CVE-2020-11652 (eine Verzeichnisüberquerung), um die Kontrolle über Salt-Master-Server zu übernehmen. Bereits vor einigen Tagen hat Saltstack, das Unternehmen, das hinter der Salt-Software steht, Patches veröffentlicht, um die beiden Sicherheitslücken zu beheben. Jedoch scheint zumindest ein Teil der rund 6.000 Salt-Server das Update noch nicht eingespielt zu haben.
Diesen Umstand machen sich gerade Hacker zunutze: Innerhalb von 24 Stunden sind zwei erfolgreiche Angriffe unter Ausnutzung von CVE-2020-11651 und CVE-2020-11652 bekannt geworden. Als erstes wurde der Server von LineageOS, einem mobilen Betriebssystem auf Android-Basis, gehackt. Der Schaden in diesem Fall hielt sich glücklicherweise in Grenzen. Ein zweiter, großer Hack wurde kurz darauf öffentlich gemacht. Diesmal war das Opfer Ghost, eine auf Node.js basierende Blogging-Plattform, die als einfachere Alternative zu WordPress entwickelt und beworben wird. Auch im zweiten Fall entstand kein großer Schaden. Nach einigen Stunden standen die Systeme wieder zur Verfügung.
Interessant am zweiten Fall ist jedoch, dass die Hacker sich scheinbar gar nicht dafür interessierten, welches Unternehmen sie da gehackt haben, denn anstatt sich Zugriff auf sensible Unternehmensdaten zu verschaffen, installierten die Angreifer einen Crypto-Miner, also eine Software, die mittels Rechenleistung Kryptowährungen schürft. Das ist auch einer der Gründe, warum der Angriff sehr schnell entdeckt wurde, denn die CPU-Leistung stieg plötzlich sprunghaft an und die Systeme waren überlastet.
Berichten zufolge waren LineageOS und Ghost nicht die einzigen Opfer, bei denen die ungepatchten Sicherheitslücken in Salt ausgenutzt wurden. Sicherheitsforscher erwarten eine weitere Zunahme derartiger Angriffe. Möglicherweise kommt dabei eine Scanner-Software zum Einsatz, die das Netz automatisch nach veralteten Salt-Versionen durchforstet und dann die beiden Sicherheitslücken ausnutzt, um den Crypto-Miner zu installieren. Berichten zufolge sollen sich auch bei Banken, Webhostern und Fortune-500-Unternehmen ungepatchte Salt-Server finden.
Umso wichtiger ist es für Systemadministratoren und Unternehmen, jetzt aktiv zu werden und die vorhandenen Patches einzuspielen. Andernfalls droht ihnen im günstigsten Fall ein mehrstündiger Serverausfall und im schlimmsten Fall ein veritabler Hackerangriff, der auch sensible Unternehmensdaten bedrohen könnte.
Bild (c) panumas / Pexels
