SaltStack RCE危急漏洞(CVSS得分10)影響成千上萬的資料中心
開源SaltStack Sat配置框架中被發現了兩個嚴重的安全漏洞,這些漏洞可能使攻擊者可以在資料中心和雲環境中部署的遠端伺服器上執行任意程式碼。
該漏洞由F-Secure研究人員在三月初發現,並於週四披露,這是SaltStack 釋出了針對該問題的補丁程式(版本3000.2)後,其等級為CVSS評分10。
“這些漏洞已分配了CVE ID CVE-2020-11651和CVE-2020-11652屬於兩個不同的類別,”網路安全公司說。
“一個是身份驗證繞過,其中功能會意外地暴露給未經身份驗證的網路客戶端,而另一個是目錄遍歷,其中未正確過濾不受信任的輸入(即網路請求中的引數),從而可以不受限制地訪問主伺服器的整個檔案系統。”
研究人員警告說,這些漏洞可能會立即在野外被利用。SaltStack還敦促使用者遵循最佳實踐來保護Salt環境。
ZeroMQ協議中的漏洞
Salt是一個功能強大的基於Python的自動化和遠端執行引擎,旨在讓使用者直接向多臺計算機發出命令。
Salt是作為監視和更新伺服器狀態的實用程式而構建的,它採用了主從結構,該結構使用“主”節點自動將從中央儲存庫中推出配置和軟體更新的過程進行部署,該“主”節點將更改部署到目標組中。大量“釋出伺服器”。主機和釋出伺服器之間的通訊透過ZeroMQ訊息匯流排進行。此外,主伺服器使用兩個ZeroMQ通道,一個“請求伺服器”,釋出伺服器向其報告執行結果,以及一個“釋出伺服器”,據F-Secure研究人員稱,這對漏洞存在於該工具的ZeroMQ協議中。
“此通報中描述的漏洞使攻擊者可以連線到“請求伺服器”埠,以繞過所有身份驗證和授權控制併發布任意控制訊息,在“主”伺服器檔案系統上的任何位置讀寫檔案並竊取金鑰用來向主身份驗證為根。”研究人員說。
“影響是完全以根使用者身份遠端執行主命令和與其連線的所有釋出伺服器。”
換句話說,攻擊者可以利用這些漏洞在主伺服器上呼叫管理命令,以及直接在主釋出伺服器上排隊訊息,此外,在wheel模組中識別出的目錄遍歷漏洞(具有將檔案讀寫到特定位置的功能),由於無法正確清理檔案路徑,因此可以讀取預期目錄之外的檔案。
速採取行動
F-Secure的研究人員說,初步掃描發現,有6000多個脆弱的Salt例項暴露於公共網際網路。
因此,要檢測對易受攻擊的主機的可能攻擊,就必須稽核釋出給小兵的郵件中是否包含任何惡意內容。他們補充說:“利用身份驗證漏洞將導致在傳送到請求伺服器埠(預設值為4506)的資料中出現ASCII字串“ _prep_auth_info”或“ _send_pub”。
強烈建議Salt使用者將軟體包更新為最新版本。
“新增網路安全控制元件以將對Salt主站(埠4505和4506為預設埠)的訪問限制為已知的奴才,或者至少阻止更廣泛的Internet,這也是謹慎的做法,因為Salt目前提供的身份驗證和授權控制元件尚不健全足以暴露在敵對網路中。”研究人員說。
披露時間表
2020-03-12在Saltstack.com上釋出的SaltStack安全團隊的GPG金鑰已於2018年到期,併傳送了更新金鑰的請求。
2020-03-16重複請求更新的GPG金鑰導致將重新簽名的金鑰釋出到安全聯絡頁面。完整的漏洞報告已傳送給SaltStack安全團隊。
2020-03-20確認收貨的請求已傳送到SaltStack安全團隊。
2020-03-24SaltStack安全團隊確認已收到漏洞報告並正在對其進行稽核。
2020-04-07SaltStack詢問F-Secure是否已請求CVE來報告所報告的漏洞,而F-Secure回答是否定的,建議Salt Salt繼續與Mitre聯絡以保留CVE ID。
2020-04-15F-Secure通知SaltStack,網際網路範圍內的掃描發現了6,000多個公開曝光的鹽主,並擔心當漏洞被披露時,它們有受到危害的風險。此外,F-Secure要求提供關於SaltStacks計劃的資訊以分發修補程式。
2020-04-16SaltStack通知F-Secure,該修復程式正在測試中,計劃於“下週初”釋出。F-Secure重申了對公開網際網路上Salt主控器數量的擔憂,並要求獲得有關SaltStack計劃如何將此版本與客戶交流的資訊。
2020-04-18SaltStack將其通訊計劃告知F-Secure,並請求將鹽主裝置暴露給公共Internet的已標識IP地址列表,以及有關替代公開方法的建議。
2020-04-20F-Secure提供IP地址列表,並建議採用多階段通訊策略作為替代方案。
2020-04-23SaltStack向使用者釋出預先通知,敦促他們不要在29日釋出修補補程式後將其釋出到Internet上,並準備應用該修補程式:
(https://github.com/saltstack/community/blob/master/doc/ Community-Message.pdf)。
2020-04-27 F-Secure向SaltStack請求有關為漏洞分配的CVE ID的資訊。
2020-04-29F-Secure再次向SaltStack請求CVE ID。
2020-04-29SaltStack使用分配的CVE識別符號進行響應。
2020-04-29SaltStack釋出瞭解決這些問題的版本3000.2和2019.2.4。
2020-04-30 F-Secure釋出資訊。
參考:
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
修復:
https://repo.saltstack.com
相關文章
- NoSQL資料庫漏洞可導致資料洩露 影響成千上萬Microsoft Azure客戶SQL資料庫ROS
- iOS 漏洞影響 5 億手機;黑客竊取 2500 萬加密貨幣被迫退回;Chrome 緊急補丁修復 RCE 漏洞iOS黑客加密Chrome
- 補丁已釋出近半年,50%聯網的GitLab仍受到RCE缺陷漏洞影響Gitlab
- WordPress外掛漏洞影響100萬個站點,或可永久刪除幾乎所有資料庫內容資料庫
- 大資料和物聯網將如何影響資料中心大資料
- EskyFun資料洩露,超過100萬Android玩家受到影響Android
- 業務資料抓取的影響
- 邊緣資料中心和5G的影響
- GoAheadWeb伺服器曝安全漏洞,上萬臺物聯網裝置受影響GoWeb伺服器
- 谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補谷歌微軟資料庫
- Block披露其影響820萬客戶的資料洩露事件BloC事件
- NVM作為主存上對資料庫管理系統的影響資料庫
- 成千上萬個站點,日資料過億的大規模爬蟲是怎麼實現的?爬蟲
- 黑客利用“Simjacker”漏洞竊取手機資料,或影響十億人黑客
- IE新漏洞威脅使用者資料,影響Win7至Win10系統Win7Win10
- 菲律賓金融服務公司資料洩露 影響90萬客戶
- 大資料教程之大資料的影響二大資料
- spark未授權RCE漏洞Spark
- 法國最大資料中心運營商機房著火!超350萬網站受到影響大資料網站
- 資料顯示近50% Android 裝置受到 WPA2 漏洞影響Android
- 影響Realtek Wi-Fi sdk的多個缺陷影響近100萬臺物聯網裝置
- 防不勝防 成千上萬的 WordPress 網站被掛上惡意程式碼網站
- Facebook:不會賠償270萬受資料洩露影響的歐洲使用者
- 所有支援狀態Windows 10獲更新:緩解Spectre漏洞影響Windows
- 影響整個Java世界:log4j2日誌包中發現RCE 0day漏洞 - lunasecJava
- 表資料的儲存對索引的影響索引
- Sunlogin RCE漏洞分析和使用
- 瞭解 CVSS:通用漏洞評分系統的應用
- 思科針對 Nexus 資料中心交換機發出危急安全預警
- 如何通過資料管理影響資料質量
- 驗證資料壓縮對DML的影響
- 影響資料檢索效率的幾個因素
- 磁碟排序對Oracle資料庫效能的影響排序Oracle資料庫
- 大資料的潛在影響及制度需求大資料
- GHOST漏洞可能影響WordPress和PHP應用PHP
- 解析OpenSSL漏洞:影響巨大 兩年前已存在
- 淺談資料中心智慧化轉型對節能降耗的影響
- 5G對資料中心的架構產生的影響-vecloud微雲架構Cloud