ALERTE : les datacenters attaqués par des malwares qui ciblent SaltStack

Il n’aura fallu que quelques jours après l’annonce de la publication de correctifs à deux vulnérabilités dans la solution d’automatisation de gestion d’infrastructures SaltStack – un logiciel open source qui gère les serveurs et les VM (machines virtuelles) dans les espaces de colocation ou de cloud public, fort apprécié sur AWS par exemple – pour que des hackers s’en emparent et développent des malwares qui s’attaquent aux datacenters.

Les deux vulnérabilités corrigées sont jugées critiques, avec un score de 10 dans le Common Vulnerability Scoring System :

  • La première vulnérabilité permet aux attaquants qui se connectent au port du serveur de demande du contrôleur maître SaltStack de contourner tous les contrôles d’authentification et d’obtenir un accès root complet à la fois au maître et aux agents « minion » sur les machines virtuelles et les serveurs contrôlés.
  • La deuxième vulnérabilité active le répertoire transversal, permettant l’accès à l’ensemble du système de fichiers du serveur maître.

Les pirates ont agi rapidement, depuis l’annonce en milieu de semaine dernière, pour désosser les vulnérabilités techniques et s’attaquer à des milliers de serveurs, et probablement plus, dans des datacenters rendus vulnérables.

L’attaque semble être assez grossière, les pirates jouent la vitesse, avec une élévation de l’utilisation des processeurs pour s’attaquer aux serveurs avant que les correctifs ne soient diffusés. Se cachant derrière un logiciel de minage cryptographique, elle désactive les pare-feu, rend certains services inaccessibles, voire installe un logiciel d’extraction de crypto-monnaie sur des machines virtuelles.

Une variante présenterait un ver pour attaquer les machines n’utilisant pas SaltStack.

Les dommages dans ces conditions d’exploitation seraient assez légers. Mais suffisant pour interrompre des services importants le temps de désactiver SaltStack. Par contre, un attaquant plus furtif pourrait installer une porte dérobée, ce qui se révélera bien plus dangereux dans le temps…

Il est urgent pour les utilisateurs de SaltStack de patcher leurs systèmes. Mais attention, le correctif remonte jusqu’aux versions de 2015, mais pas au-delà. Les systèmes qui exploitent encore des versions plus anciennes sans les avoir mises à jour s’exposent à des dangers plus grands, SaltStack pourrait cacher d’autres vulnérabilités !

à lire