Xen Orchestra盐加密杂船的最新受害者

Xen Orchestra是Xen虚拟机管理人的基于Web的管理服务，已成为网络犯罪分子的最新已知受害者，利用SaltStack源盐远程任务和配置框架中的两个关键漏洞，这已经留下了数千个云服务器世界暴露。

首次通过F-Secure研究人员上周披露，盐脆弱性非常危险，易利用。留下未咬合的，它们给恶意演员可以使用Salt Master存储库上的root权限远程执行代码，以执行任何数量的事情。

在Xen Orchestra的情况下，它的攻击者利用了在许多虚拟机（VMS）上运行加密器的脆弱性，这是在3月3日早期发现的公司在其基础架构上的几个服务变得无法访问时。

进一步调查发现了一个流氓盐煤矿过程采矿硬币 - 与博客平台幽灵共同，这被类似的攻击击中 - 这在中央处理单元（CPU）使用中引起了一个显着的尖峰。

“一个硬币挖掘剧本在我们的一些VM上跑了，我们幸运的是，我们发生了什么，没有任何影响，没有证据表明私人客户数据，密码或其他信息受到损害。GPG签名键不在任何受影响的VM上。我们不存储任何信用卡信息，也不存储纯文本凭据。训练，“兴乐队的创始人Olivier Lambert在披露博客中写道。

Lambert表示，这是清楚的，该组织已经陷入了一个非常广泛的网络攻击，影响了许多人的巨大攻击，并表示F-Secure在野外检测到6000个脆弱的盐实例是一种轻描淡写的东西。

他承认Xen Orchestra轻轻地下车，被一个非常通用的有效载荷击中，可能很快建造，以便在漏洞中快速兑现。

Xen Orchestra被曝光，因为它具有可信SaltStack的通信协议，可以灵活地添加新的VM，而无需使用虚拟专用网络（VPN）或安全隧道，这是一个错误，因为它让攻击者访问可用的Salt Master端口注入其有效载荷。它在其主发行存储库中也尚未看到补丁。

它现在已停止使用SaltStack的短期，并将其从VM中删除，以及将其所有系统密码，令牌和钥匙更改为外部服务，并提高其网络隐私。

“简而言之，我们陷入了影响很多人的风暴。我们都有一些共同点：我们低估了从外部携带盐大师的风险，“兰伯特说。

“幸运的是，初始攻击有效载荷非常愚蠢，而且没有危险。我们知道它可能更危险，我们认为这是一个大警报。恶意软件世界正在快速发展：对我们的管理软件进行自动更新是不够的。

“如果您在自己的基础设施中运行SaltStack，请非常小心。较新的有效载荷可能更危险，“他说。

可以在其网站上阅读Xen Orchestra的经验的更多技术细节。

Saltstack的产品和营销高级副总裁Alex Peay表示，它立即采取行动来修复漏洞，开发和发布补丁，并广泛传销对受影响版本的客户。

“虽然没有初步证据表明CVE被剥削，但我们已经证实了一些易受攻击的未被攻击的系统已经被未经授权的用户访问，因为修补程序的释放以来，”他说。

“我们必须加强所有Salt用户补丁他们的系统和遵循指导的重要意义，我们为盐环境安全的纠正和最佳实践提供了概述的步骤。升级到最新版本的平台并注册支持同样重要为了将来对任何可能的问题和补救的认识，“Peay说。

Pey指出，F-Secure的6000个脆弱的暴露盐母座的估计估计是其安装底座的非常小部分。他说，遵循基本互联网安全准则和最佳实践的客户不受影响。