Noticias

La plataforma de Blogs “Ghost” ha sido hackeada y sus servidores usados para minar

La plataforma Ghost, uno de los CMS más populares para crear blogs, sufrió una violación de seguridad y los piratas informáticos explotaron las vulnerabilidades para extraer criptomonedas usando los servidores de la compañía.

A través de Twitter, la compañía dijo que los ciberdelincuentes no robaron ninguna información personal o financiera de sus usuarios. En cambio, después de piratear los servidores, se centraron en la práctica del “cryptojacking”, el proceso de minería furtiva de criptomonedas.

Los desarrolladores de la plataforma se dieron cuenta de que las CPU del servidor estaban sobrecargadas debido a la minería de criptomonedas. Inmediatamente desconectaron todos los servidores para resolver la situación.

Nuestra investigación indica que se utilizó una vulnerabilidad crítica en nuestra infraestructura de administración de servidores (Saltstack, CVE-2020-11651 CVE-2020-11652) en un intento de extraer criptomonedas usandolos. El intento de minería aumentó drásticamente el uso de los CPU’s y rápidamente abrumó a la mayoría de nuestros sistemas, lo que nos alertó sobre el problema de inmediato“.

Ghost, que se presenta como “la alternativa simple a WordPress” se utiliza en blogs de compañías populares, como Tinder, NASA, Mozilla, Cloudflare, OkCupid, Bitpay y TransferWise, Revolut, Duck Duck Go, Digitial Ocean, Airtable, Code Cademy , y otras.

Además de los clientes de renombre de Ghost, otros 750,000 usuarios usan la plataforma para pequeños blogs. Solo los últimos 6,920 sitios nuevos se crearon usando el CMS.

La plataforma ofrece dos versiones, una descarga gratuita autohospedada y una versión alojada en servidores Ghost. Esta versión fue el objetivo de los hackers.

El ataque afectó a los clientes del plan Ghost (Pro) y los servicios de facturación de la compañía, por lo que varios blogs no funcionaron. La compañía enfatizó que, hasta ahora, no hay evidencia de compromiso de los datos personales, las contraseñas o la información de la tarjeta de crédito de sus clientes.

Al detallar el ataque, la compañía dijo que los piratas informáticos explotaron dos vulnerabilidades (CVE-2020-11651 y CVE-2020-11652) para extraer criptomonedas usando sus servidores.

La falla CVE-2020-11651 permitió a los piratas informáticos realizar ataques remotos sin ninguna autenticación de seguridad, mientras que CVE-2020-11652 permitió el acceso arbitrario a directorios protegidos.

Según los investigadores de seguridad, los piratas informáticos están barriendo Internet para hackear sitios que usan Salt, el software utilizado para administrar y automatizar servidores de Ghost y otras compañías.

Además de la plataforma Ghost, los piratas informáticos pudieron piratear servidores LineageOS, un sistema operativo móvil.

Saltstack, la compañía detrás de Salt, publicó actualizaciones al principio sobre las vulnerabilidades. Las empresas deben actualizar los servidores que usan Salt o protegerlos con un firewall. Hay alrededor de 6,000 servidores que usan Salt hoy.

Deja un comentario

Your email address will not be published.

You may also like