幽灵,谱系和Digicert都充满漏洞
攻击者正在积极滥用盐配置管理框架中的安全缺陷,以攻击各种目标。
开源博客平台Ghost和科技公司的Lineageos和Digicert都在短暂连续攻击的受害者中,仅在F-Secure的安全研究人员与一对关键漏洞公开之后几天,先前报道经过每日swbeplay2018官网ig。
在昨天(5月4日)发出的事件报告中,幽灵说攻击者滥用了漏洞,以快速检测到的,本质上没有成功地在其服务器上挖掘加密货币。
就宗族而言,攻击者利用缺陷来访问其基础架构。开源移动操作系统的开发人员随后进行检查揭示其源代码,软件构建和签名密钥都不会受到失败攻击的影响。
Digicert,网络安全公司,说对其系统的攻击是针对其证书透明度日志的,其响应响应,影响了运行其核心数字证书系统的系统。
盐和胡椒
盐被数据中心和基于云的环境广泛使用作为服务器配置,监视和更新工具。开源盐项目在供应商Saltstack的产品范围的中心,在其本身就受到了广泛欢迎。
长时间博客文章Saltstack为了对攻击的反应发表,重申了应用上周发布的更新的重要性。
供应商解释说:“如果盐大师暴露于开放互联网,脆弱性很容易利用。”
“确定该漏洞的安全公司的扫描发现大约有6,000名盐主人接触到互联网和脆弱性。这些系统尤其是所有盐环境必须是硬化并立即更新。”
独立的网络安全公司(例如Tenable)回应了这一建议。在一个博客文章Tenable注意到,Github已发布了几种盐漏洞的概念证明漏洞,这在某种程度上解释了最近几天的攻击。
Tenable的安全响应经理Rody Quinlan被要求评论漏洞的快速利用。每日swbeplay2018官网ig这是由于美味目标和易用性的结合。
“严重身份验证旁路脆弱性与A的组合目录遍历缺陷为未经身份验证的攻击者提供了完全控制的能力。”昆兰解释说。
“ F-Secure Labs认识到这些漏洞的严重性,并指出他们希望在发布咨询后的24小时内有工作证明(POC),促使他们扣留自己的咨询。”
他补充说:“数据中心是盐框架的主要部署环境,随着COVID-19大流行期间远程工作的增加,它已成为越来越重要的基础设施,使其成为主要目标。”
