信息來源:Freebuf
4月30日,安全公司 F-Secure 的研究人員披露了SaltStack兩個(gè)高危漏洞CVE-2020-11651 和 CVE-2020-11652。而黑客行動迅速,很快就利用該漏洞對 LineageOS、Ghost 和DigiCert 的服務(wù)器發(fā)起了攻擊。
LineageOS 是一個(gè)非常受歡迎的 Android 分支,基本是 CyanogenMod 的復(fù)刻。5月3日,LineageOS官方Twitter賬號發(fā)布消息稱服務(wù)器受到攻擊,索性在攻擊者執(zhí)行破壞前就已經(jīng)被發(fā)現(xiàn),源代碼以及相關(guān)構(gòu)建未受影響。
同樣是5月3日,開源博客平臺Ghost透露有攻擊者通過SaltStack漏洞訪問其基礎(chǔ)設(shè)施,Ghost(Pro)網(wǎng)站和Ghost.org計(jì)費(fèi)服務(wù)都受到了影響,目前也并沒有證據(jù)表明又客戶信息、密碼或者其他數(shù)據(jù)泄露。除此之外,攻擊者還是圖利用其服務(wù)器運(yùn)行挖礦惡意軟件,導(dǎo)致CPU持續(xù)高負(fù)載,大多數(shù)系統(tǒng)出現(xiàn)超載的情況。
Ghost 很快進(jìn)行應(yīng)急處理,率先恢復(fù)了站點(diǎn)的正常訪問,并持續(xù)監(jiān)控所有系統(tǒng),在5月4日已全部清除挖礦惡意軟件的影響,所有系統(tǒng)重新恢復(fù)穩(wěn)定。
受SaltStack漏洞影響的還有證書頒發(fā)機(jī)構(gòu)DigiCert,導(dǎo)致CT Log 2用于簽署ST的密鑰被泄露,其他DigiCert CT日志在單獨(dú)的基礎(chǔ)架構(gòu)上運(yùn)行時(shí)均不受影響,安全起見,DigiCert已經(jīng)將日志拉入只讀模式。
關(guān)于SaltStack漏洞
SaltStack 是一種基于 C/S 架構(gòu)的服務(wù)器基礎(chǔ)架構(gòu)集中化管理平臺,具備配置管理、遠(yuǎn)程執(zhí)行、監(jiān)控等功能,通過部署 SaltStack 環(huán)境,運(yùn)維人員可以在成千上萬臺服務(wù)器上做到批量執(zhí)行命令。
漏洞信息
F-Secure 披露的兩個(gè)漏洞 CVE-2020-11651 和 CVE-2020-11652,CVSS 評分 10/10。在4月29日,SaltStack已經(jīng)發(fā)布新版本修復(fù)了漏洞。
CVE-2020-11651:攻擊者利用該漏洞構(gòu)造惡意請求,可以繞過正常的Salt Master驗(yàn)證邏輯,調(diào)用相關(guān)未授權(quán)函數(shù)的功能,從而實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。
CVE-2020-11652:攻擊者利用該漏洞構(gòu)造惡意請求,可以獲取服務(wù)器目錄結(jié)構(gòu),讀取任意文件。
影響范圍
SaltStack < 2019.2.4
SaltStack < 3000.2
修復(fù)方案
1.升級至最新安全版本,升級前注意進(jìn)行快照備份。
2.設(shè)置Salt Master的默認(rèn)監(jiān)聽端口(4505 和 4506)禁止對公網(wǎng)開放,或僅對可信IP開放。
參考鏈接
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
https://www.securityweek.com/recent-salt-vulnerabilities-exploited-hack-lineageos-ghost-digicert-servers