Plataforma de blogs Ghost é hackeada e servidores são usados para minerar criptomoedas
A plataforma Ghost, um dos CMS mais populares para criação de blogs sofreu uma violação de segurança e hackers exploraram as vulnerabilidades para minerar criptomoedas nos servidores da empresa.
Por meio do Twitter a empresa afirmou que os cibercriminosos não roubaram nenhuma informação pessoal ou financeira de seus usuários. Em vez disso, após invadir os servidores eles focaram na prática de cryptojacking – processo de mineração furtiva de criptomoedas.
Os desenvolvedores da plataforma perceberam que as CPUs dos servidores estavam sobrecarregados devido a mineração de criptomoedas. Eles então tiraram todos servidores do ar para resolver a situação.
“Nossa investigação indica que uma vulnerabilidade crítica em nossa infraestrutura de gerenciamento de servidores (Saltstack, CVE-2020-11651 CVE-2020-11652) foi usada na tentativa de minerar criptomoeda em nossos servidores. A tentativa de mineração aumentou o uso de CPU e sobrecarregou rapidamente a maioria dos nossos sistemas, o que nos alertou para o problema imediatamente.”
O Ghost, que se apresenta como “a alternativa simples ao WordPress” é usado em blogs de empresas populares, como Tinder, NASA, Mozilla, Cloudflare, OkCupid, Bitpay e TransferWise, Revolut, Duck Duck Go, Digitial Ocean, Airtable, Code Cademy, e outras.
Além dos clientes renomados da Ghost, outros 750.000 usuários usam a plataforma para pequenos blogs. Só na última 6.920 novos sites foram criados utilizando o CMS.
A plataforma oferece duas versões, uma auto-hospedada gratuita para baixar e usar, e uma versão hospedada nos servidores da Ghost. Foi esta versão o alvo dos hackers.
Ataque derrubou blogs do plano PRO
O ataque afetou clientes do plano Ghost (Pro) e os serviços de cobrança da empresa, assim, diversos blogs ficaram fora do ar. A empresa reforçou que, até o momento, não há evidências de comprometimento dos dados pessoais de seus clientes, senhas ou informações de cartão de crédito.
Ao detalhar o ataque, a empresa afirmou que os hackers exploraram duas vulnerabilidades (CVE-2020-11651 e CVE-2020-11652) para minerar criptomoedas em seus servidores.
A falha CVE-2020-11651 permitia que hackers executassem ataques remotos sem nenhuma autenticação de segurança enquanto a CVE-2020-11652 permitiu acesso arbitrário a diretórios protegidos.
Hey there!
Unfortunately some sites on Ghost(Pro) are currently having problems due a critical security vulnerability which is affecting many services around the world today.
We’re working as quickly as we can to resolve it, and sharing updates here:https://t.co/0rnXw9Ux6d
— Ghost (@Ghost) May 3, 2020
Servidores LineageOS também foram invadidos
De acordo com pesquisadores de segurança os hackers estão varrendo a Internet para invadir sites que utilizam o Salt, o software usado para gerenciar e automatizar servidores da Ghost e outras empresas.
Além da plataforma Ghost os hackers conseguiram invadir os servidores do LineageOS, um sistema operacional móvel.
A Saltstack, empresa por trás do Salt, publicou atualizações no início desta sobre as vunerabilidades. As empresas devem atualizar os servidores que utilizam o Salt ou protegê-los com um firewall. Existem cerca de 6.000 servidores utilizando o Salt atualmente.
Saiba mais em Plataforma de blogs Ghost é hackeada e servidores são usados para minerar criptomoedas
