開源SaltStack Sat配置框架中被發現了兩個嚴重的安全漏洞,這些漏洞可能使攻擊者可以在資料中心和雲環境中部署的遠端伺服器上執行任意程式碼。
該漏洞由F-Secure研究人員在三月初發現,並於週四披露,這是SaltStack 釋出了針對該問題的補丁程式(版本3000.2)後,其等級為CVSS評分10。
“這些漏洞已分配了CVE ID CVE-2020-11651和CVE-2020-11652屬於兩個不同的類別,”網路安全公司說。
“一個是身份驗證繞過,其中功能會意外地暴露給未經身份驗證的網路客戶端,而另一個是目錄遍歷,其中未正確過濾不受信任的輸入(即網路請求中的引數),從而可以不受限制地訪問主伺服器的整個檔案系統。”
研究人員警告說,這些漏洞可能會立即在野外被利用。SaltStack還敦促使用者遵循最佳實踐來保護Salt環境。
ZeroMQ協議中的漏洞
Salt是一個功能強大的基於Python的自動化和遠端執行引擎,旨在讓使用者直接向多臺計算機發出命令。
Salt是作為監視和更新伺服器狀態的實用程式而構建的,它採用了主從結構,該結構使用“主”節點自動將從中央儲存庫中推出配置和軟體更新的過程進行部署,該“主”節點將更改部署到目標組中。大量“釋出伺服器”。主機和釋出伺服器之間的通訊透過ZeroMQ訊息匯流排進行。此外,主伺服器使用兩個ZeroMQ通道,一個“請求伺服器”,釋出伺服器向其報告執行結果,以及一個“釋出伺服器”,據F-Secure研究人員稱,這對漏洞存在於該工具的ZeroMQ協議中。
“此通報中描述的漏洞使攻擊者可以連線到“請求伺服器”埠,以繞過所有身份驗證和授權控制併發布任意控制訊息,在“主”伺服器檔案系統上的任何位置讀寫檔案並竊取金鑰用來向主身份驗證為根。”研究人員說。
“影響是完全以根使用者身份遠端執行主命令和與其連線的所有釋出伺服器。”
換句話說,攻擊者可以利用這些漏洞在主伺服器上呼叫管理命令,以及直接在主釋出伺服器上排隊訊息,此外,在wheel模組中識別出的目錄遍歷漏洞(具有將檔案讀寫到特定位置的功能),由於無法正確清理檔案路徑,因此可以讀取預期目錄之外的檔案。
速採取行動
F-Secure的研究人員說,初步掃描發現,有6000多個脆弱的Salt例項暴露於公共網際網路。
因此,要檢測對易受攻擊的主機的可能攻擊,就必須稽核釋出給小兵的郵件中是否包含任何惡意內容。他們補充說:“利用身份驗證漏洞將導致在傳送到請求伺服器埠(預設值為4506)的資料中出現ASCII字串“ _prep_auth_info”或“ _send_pub”。
強烈建議Salt使用者將軟體包更新為最新版本。
“新增網路安全控制元件以將對Salt主站(埠4505和4506為預設埠)的訪問限制為已知的奴才,或者至少阻止更廣泛的Internet,這也是謹慎的做法,因為Salt目前提供的身份驗證和授權控制元件尚不健全足以暴露在敵對網路中。”研究人員說。
披露時間表
2020-03-12在Saltstack.com上釋出的SaltStack安全團隊的GPG金鑰已於2018年到期,併傳送了更新金鑰的請求。
2020-03-16重複請求更新的GPG金鑰導致將重新簽名的金鑰釋出到安全聯絡頁面。完整的漏洞報告已傳送給SaltStack安全團隊。
2020-03-20確認收貨的請求已傳送到SaltStack安全團隊。
2020-03-24SaltStack安全團隊確認已收到漏洞報告並正在對其進行稽核。
2020-04-07SaltStack詢問F-Secure是否已請求CVE來報告所報告的漏洞,而F-Secure回答是否定的,建議Salt Salt繼續與Mitre聯絡以保留CVE ID。
2020-04-15F-Secure通知SaltStack,網際網路範圍內的掃描發現了6,000多個公開曝光的鹽主,並擔心當漏洞被披露時,它們有受到危害的風險。此外,F-Secure要求提供關於SaltStacks計劃的資訊以分發修補程式。
2020-04-16SaltStack通知F-Secure,該修復程式正在測試中,計劃於“下週初”釋出。F-Secure重申了對公開網際網路上Salt主控器數量的擔憂,並要求獲得有關SaltStack計劃如何將此版本與客戶交流的資訊。
2020-04-18SaltStack將其通訊計劃告知F-Secure,並請求將鹽主裝置暴露給公共Internet的已標識IP地址列表,以及有關替代公開方法的建議。
2020-04-20F-Secure提供IP地址列表,並建議採用多階段通訊策略作為替代方案。
2020-04-23SaltStack向使用者釋出預先通知,敦促他們不要在29日釋出修補補程式後將其釋出到Internet上,並準備應用該修補程式:
(https://github.com/saltstack/community/blob/master/doc/ Community-Message.pdf)。
2020-04-27 F-Secure向SaltStack請求有關為漏洞分配的CVE ID的資訊。
2020-04-29F-Secure再次向SaltStack請求CVE ID。
2020-04-29SaltStack使用分配的CVE識別符號進行響應。
2020-04-29SaltStack釋出瞭解決這些問題的版本3000.2和2019.2.4。
2020-04-30 F-Secure釋出資訊。
參考:
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
修復:
https://repo.saltstack.com
共建網路安全命運共同體