Salt är en produkt för administration och automation av servrar i större installationer som datacenter, molnkluster och stora företagsnätverk. Tidigare har två sårbarheter (CVE-2020-11651 och CVE-2020-11652) i Salt upptäckts, men sedan dess fixats med uppdateringar.
Men många Salt-servrar är fortfarande inte uppdaterade och en grupp av cyberkriminella har tagit upp en febril jakt på sårbara servrar. Gruppen verkar ha automatiserat angreppen genom att avsöka nätet efter sårbara system och sedan automatiskt installera kryptogrävare. Många saltanvändare diskuterar attackerna i en tråd på Github.
Säkerhetsanalytiker rapporterar till ZDNet att ett tiotal företag redan blivit angripna – här om dagen det mobila operativsystemet LineageOS och igår blogg- och publicistplattformen Ghost. Enligt Ghost har angreppet inneburit ett längre driftstopp, men inga data har blivit stulna, helt enkelt för att syftet med attacken varit ett annat.
Just nu nöjer sig angriparna, botnätet eller skadliga koden Kinsing, att placera ut kryptogrävare, men säkerhetsanalytiker säger till ZDNet att det bara är en tidsfråga innan de, eller någon annan grupp, börjar attackera med gisslanprogram. Kinsing har under de senaste månaderna även attackerat Docker-system som publicerar api:er utan lösenord. Även i dessa fall placerar förövarna ut kryptogrävare.
Alla med Salt-servrar bör uppdatera systemen omedelbart, alternativt placera servrarna bakom brandväggar.
Läs också:
Över 104 miljarder har hackats från kryptobörser
Microsoft har lyckats sätta stopp för gigantiskt botnät
