• IT-Karriere:
  • Services:

Sicherheitslücke: Digicert- und Lineage-OS-Server gehackt

Über schwerwiegende Sicherheitslücken in dem Servermanagement-Tool Saltstack wurden mehrere Server gehackt.

Artikel veröffentlicht am , /
Hacker nutzen schwerwiegende Sicherheitslücken in Saltstack aus.
Hacker nutzen schwerwiegende Sicherheitslücken in Saltstack aus. (Bild: Saltstack)

Angreifer haben Server der CA Digicert, des alternativen Android Lineage OS und der Blogging-Plattform Ghost über die Automatisierungssoftware Saltstack gehackt. Mit der Open-Source-Software können Administratoren ihre Server verwalten. Vergangene Woche haben die Saltstack-Entwickler zwei schwerwiegende Sicherheitslücken behoben, die auf ungepatchten Systemen aktiv ausgenutzt werden.

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz
  2. SCHMIDT + HAENSCH GmbH & Co., Berlin

Mit den Sicherheitslücken können Angreifer die Authentifizierung umgehen (CVE-2020-11652) und auf Verzeichnisse zugreifen (CVE-2020-11652). Mit den Lücken können Angreifer Code als Root auf den betroffenen Saltstack-Servern ausführen. In den Saltstack-Versionen 2019.2.4 und 3000.2 wurden die Sicherheitslücken behoben.

Mit den Saltstack-Sicherheitslücken konnten sich Angreifer am 2. Mai 2020 Zugriff auf die Kerninfrastruktur von Lineage OS verschaffen. Wenige Stunden später veröffentlichte das Lineage-Team ein Statement auf Twitter. Demnach sind weder die Builds des Betriebssystems, die wegen eines anderen Fehlers seit 30. April pausieren, noch der Quellcode des Betriebssystems betroffen. Auch die Signaturschlüssel seien nicht betroffen, da diese auf unabhängigen Hosts gespeichert sind.

Einige Stunden später wurde die Blogging-Plattform Ghost gehackt. Laut den Ghost-Entwicklern hatten die Angreifer Zugang zu den Ghost-(Pro-)Webseiten sowie den Abrechnungsdiensten von Ghost.org. "Es gibt keine direkten Beweise dafür, dass private Kundendaten, Passwörter oder andere Informationen kompromittiert wurden. Alle Sitzungen, Passwörter und Schlüssel werden erneuert", heißt es in einer Stellungnahme.

Zertifizierungsstelle Digicert gehackt

Die TLS-Zertifizierungsstelle Digicert meldete ebenfalls einen Angriff durch die Saltstack-Lücke. Auf dem betroffenen System befand sich der private Schlüssel eines Logs für das Certificate-Transparency-System, das Digicert betreibt. TLS-Zertifikate müssen generell von zwei voneinander unabhängigen Certificate-Transparency-Logs Bestätigungen haben, die die Aufnahme in das Log belegen. Daher dürften die praktischen Auswirkungen dieses Hacks zwar gering sein, trotzdem ist es gravierend, dass ausgerechnet eine TLS-Zertifizierungsstelle die Kontrolle über einen privaten Schlüssel verliert.

Laut dem Onlinemagazin ZDnet scannen die Angreifer nach verwundbaren Saltstack-Installationen und versuchen, diese zu übernehmen, um Miner für Kryptowährungen oder Hintertüren zu installieren. Demnach sollen mehr als 6.000 verwundbare Saltstack-Server im Netz zu finden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 69,90€ (Bestpreis)
  2. (u. a. LG 55NANO806NA Nanocell 55 Zoll für 549€, LG 65NANO806NA Nanocell 65 Zoll für 749€, LG...
  3. (u. a. DiRT 5 - Day One Edition für 29,49€, Frostpunk für 6,49€, Firefighting Simulator - The...
  4. 44,99€ (statt 59,99€)

elf 05. Mai 2020

Du erinnerst dich falsch. Das war DigiNotar.

HeroFeat 04. Mai 2020

Ich hatte bereits am Donnerstag alle Systeme gepatcht, da ich mitbekommen hatte, das es...


Folgen Sie uns
       


Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

Demon's Souls im Test: Düsternis auf Basis von 10,5 Tflops
Demon's Souls im Test
Düsternis auf Basis von 10,5 Tflops

Das Remake von Demon's Souls ist das einzige PS5-Spiel von Sony, das nicht für die PS4 erscheint - und ein toller Einstieg in die Serie!
Von Peter Steinlechner


    Zenbook Flip UX371E im Test: Asus steht sich selbst im Weg
    Zenbook Flip UX371E im Test
    Asus steht sich selbst im Weg

    Das Asus Zenbook Flip UX371E verbindet eines der besten OLED-Displays mit exzellenter Tastatur-Trackpad-Kombination. Wäre da nicht ein Aber.
    Ein Test von Oliver Nickel

    1. Vivobook S14 S433 und S15 S513 Asus bringt Tiger-Lake-Notebooks ab 700 Euro
    2. Asus Expertbook P1 350-Euro-Notebook tauscht gutes Display gegen gesteckten RAM
    3. Asus Zenfone 7 kommt mit Dreifach-Klappkamera

      •  /