Cisco foi hackeada por meio da exploração de servidores ​​SaltStack vulneráveis

E como ninguém está salvo de agentes mal intencionados, a Cisco foi hackeada por meio da exploração de servidores ​​SaltStack vulneráveis.

A Cisco Systems, Inc. é uma companhia que oferece soluções para redes e comunicações quer seja na fabricação e venda (destacando-se fortemente no mercado de roteadores e switches) ou mesmo na prestação de serviços por meio de suas subsidiárias Linksys, WebEx, IronPort e Scientific Atlanta.

Ainda no começo de suas operações a Cisco fabricava apenas roteadores de grande porte para empresas, mas gradualmente diversificou o seu negócio passando a atender também ao consumidor final com tecnologias como o Voip ao mesmo tempo, em que seu segmento corporativo era ampliado.

Agora, a Cisco disse que alguns de seus servidores back-end do Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) foram hackeados ao explorar vulnerabilidades críticas do SaltStack corrigidas no mês passado.

Cisco foi hackeada por meio da exploração de servidores ​​SaltStack vulneráveis

Cisco foi hackeada por meio da exploração de servidores ​​SaltStack vulneráveis
Cisco foi hackeada por meio da exploração de servidores ​​SaltStack vulneráveis

O comunicado de segurança publicado diz que:

“A infraestrutura da Cisco mantém os servidores mestre de sal usados ​​com o Cisco VIRL-PE. “Esses servidores foram atualizados em 7 de maio de 2020.”

“A Cisco identificou que a Cisco mantinha servidores de salt-master que atendem às versões 1.2 e 1.3 do Cisco VIRL-PE estavam comprometidos”.

Conforme detalhado pela empresa, os hackers conseguiram comprometer seis servidores de infraestrutura de back-end: us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm -us-1.virl.info e vsm-us-2.virl.info.

Os servidores invadidos foram atualizados e corrigidos pela Cisco em 7 de maio de 2020, aplicando patches que abordam a vulnerabilidade de desvio de autenticação (CVE-2020-11651) e a travessia de diretório (CVE-2020-11652) que afeta os servidores SaltStack.

A Cisco também afirma que os produtos Cisco Modeling Labs Corporate Edition (CML) e Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) implantados em configurações independentes ou de cluster também são vulneráveis ​​a ataques porque “incorporam uma versão do SaltStack que está executando o serviço salt-master que é afetado por essas vulnerabilidades. ”

A empresa lançou atualizações de segurança que corrigem os produtos CML e VIRL-PE e também fornece uma solução alternativa para clientes que não podem atualizar imediatamente suas instalações.

A CML permite que os usuários simulem dispositivos Cisco e de terceiros, enquanto o VIRL-PE permite projetar e testar redes virtuais em ambientes de desenvolvimento e teste.

Atacantes que exploram ativamente as vulnerabilidades do SaltStack

O CVE-2020-11652 permite a leitura de arquivos fora do diretório pretendido e, combinado com o CVE-2020-11651, fornece aos atacantes não autenticados acesso total de leitura e gravação e permite que eles roubem a chave secreta necessária para se autenticar no salt master servidor como root.

A Cisco não é a primeira organização a anunciar uma violação de segurança causada pela exploração das falhas do SaltStack, com a empresa de segurança digital DigiCert, LineageOS, Vates (criadores do Xen Orchestra) e a plataforma de blogs Ghost também relatando invasões.

Enquanto a maioria das organizações que foram hackeadas dessa maneira disse que o objetivo final dos ataques era usar os servidores comprometidos para mineração ilícita de moedas, a possibilidade de outros objetivos mais insidiosos, como a implantação de cargas maliciosas mais perigosas ou o roubo de informações confidenciais. não pode ser descartada.

De acordo com o mecanismo de pesquisa de análise de superfície de ataque Censys, de 1º de maio, havia mais de 5.000 servidores SaltStack expostos à Internet potencialmente vulneráveis, projetados para explorar os dois bugs.


O que está sendo falado no blog

Post Views: 1.194

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.