Au cours des derniers jours, les pirates ont exploité deux vulnérabilités Salt récemment révélées pour compromettre les serveurs de LineageOS, Ghost et DigiCert.

Géré par SaltStack, Salt est un outil de configuration open source pour surveiller et mettre à jour l’état des serveurs dans les centres de données et les environnements cloud. Appelés serviteurs, les agents installés sur les serveurs se connectent à un maître pour fournir des rapports d’état (à un «serveur de demande») et recevoir des mises à jour (à partir d’un «serveur de publication»).

La semaine dernière, les chercheurs en sécurité de F-Secure ont dévoilé deux vulnérabilités dans Salt (CVE-2020-11651 et CVE-2020-11652) qui pourraient permettre à des attaquants distants d’exécuter des commandes en tant que root sur les « sbires » maîtres et connectés. Le plus grave des bogues a un score CVSS de 10.

Les vulnérabilités pourraient permettre à un attaquant de contourner les contrôles d’authentification et d’autorisation, «et de publier des messages de contrôle arbitraires, de lire et d’écrire des fichiers n’importe où sur le système de fichiers du serveur« maître »et de voler la clé secrète utilisée pour s’authentifier auprès du maître en tant que root», F-Secure a dit la semaine dernière.

La firme de sécurité a averti que les attaquants pourraient probablement exploiter les vulnérabilités dans les 24 heures après la publication du rapport: « Correctif d’ici vendredi ou compromis d’ici lundi », a déclaré jeudi le consultant principal de F-Secure, Olle Segerdahl.

Au cours du week-end, des attaques visant à exploiter les deux failles de sécurité ont été observées, LineageOS, Ghost et DigiCert étant parmi les premiers à en être victimes.

Les serveurs de la distribution LineageOS Android ont été touchés le samedi 2 mai, les serveurs de builds et de statistiques étant toujours affectés par la panne au moment de la rédaction. Dans un message publié sur Twitter, LineageOS a déclaré que les clés de signature, les versions et le code source étaient pas affecté par l’incident.

La plate-forme de publication open source Ghost a révélé sur sa page d’état que les attaquants ont réussi à accéder à son infrastructure le 3 mai. Les sites Ghost (Pro) et les services de facturation Ghost.org ont été touchés, mais aucune information de carte de crédit n’a été affectée, a déclaré Ghost ( ajoutant que …