Sicherheitslücke: Digicert- und LineageOS-Server gehackt
Angreifer haben Server der CA Digicert, des alternativen Android LineageOS und der Blogging-Plattform Ghost über die Automatisierungssoftware Saltstack gehackt. Mit der Open-Source-Software können Administratoren ihre Server verwalten. Vergangene Woche haben die Saltstack-Entwickler zwei schwerwiegende Sicherheitslücken behoben, die auf ungepatchten Systemen aktiv ausgenutzt werden.
Mit den Sicherheitslücken(öffnet im neuen Fenster) können Angreifer die Authentifizierung umgehen (CVE-2020-11652) und auf Verzeichnisse zugreifen (CVE-2020-11652). Mit den Lücken können Angreifer Code als Root auf den betroffenen Saltstack-Servern ausführen. In den Saltstack-Versionen 2019.2.4 und 3000.2 wurden die Sicherheitslücken behoben.
Mit den Saltstack-Sicherheitslücken konnten sich Angreifer am 2. Mai 2020 Zugriff auf die Kerninfrastruktur von LineageOS verschaffen. Wenige Stunden später veröffentlichte das Lineage-Team ein Statement auf Twitter(öffnet im neuen Fenster) . Demnach sind weder die Builds des Betriebssystems, die wegen eines anderen Fehlers seit 30. April pausieren, noch der Quellcode des Betriebssystems betroffen. Auch die Signaturschlüssel seien nicht betroffen, da diese auf unabhängigen Hosts gespeichert sind.
Einige Stunden später wurde die Blogging-Plattform Ghost gehackt. Laut den Ghost-Entwicklern hatten die Angreifer Zugang zu den Ghost-(Pro-)Webseiten sowie den Abrechnungsdiensten von Ghost.org. "Es gibt keine direkten Beweise dafür, dass private Kundendaten, Passwörter oder andere Informationen kompromittiert wurden. Alle Sitzungen, Passwörter und Schlüssel werden erneuert" , heißt es in einer Stellungnahme(öffnet im neuen Fenster) .
Zertifizierungsstelle Digicert gehackt
Die TLS-Zertifizierungsstelle Digicert meldete ebenfalls einen Angriff(öffnet im neuen Fenster) durch die Saltstack-Lücke. Auf dem betroffenen System befand sich der private Schlüssel eines Logs für das Certificate-Transparency-System, das Digicert betreibt. TLS-Zertifikate müssen generell von zwei voneinander unabhängigen Certificate-Transparency-Logs Bestätigungen haben, die die Aufnahme in das Log belegen. Daher dürften die praktischen Auswirkungen dieses Hacks zwar gering sein, trotzdem ist es gravierend, dass ausgerechnet eine TLS-Zertifizierungsstelle die Kontrolle über einen privaten Schlüssel verliert.
Laut dem Onlinemagazin ZDnet(öffnet im neuen Fenster) scannen die Angreifer nach verwundbaren Saltstack-Installationen und versuchen, diese zu übernehmen, um Miner für Kryptowährungen oder Hintertüren zu installieren. Demnach sollen mehr als 6.000 verwundbare Saltstack-Server im Netz zu finden sein.