信息來(lái)源:Freebuf
4月30日��,安全公司 F-Secure 的研究人員披露了SaltStack兩個(gè)高危漏洞CVE-2020-11651 和 CVE-2020-11652。而黑客行動(dòng)迅速,很快就利用該漏洞對(duì) LineageOS、Ghost 和DigiCert 的服務(wù)器發(fā)起了攻擊��。
LineageOS 是一個(gè)非常受歡迎的 Android 分支���,基本是 CyanogenMod 的復(fù)刻�����。5月3日����,LineageOS官方Twitter賬號(hào)發(fā)布消息稱(chēng)服務(wù)器受到攻擊���,索性在攻擊者執(zhí)行破壞前就已經(jīng)被發(fā)現(xiàn),源代碼以及相關(guān)構(gòu)建未受影響��。
同樣是5月3日��,開(kāi)源博客平臺(tái)Ghost透露有攻擊者通過(guò)SaltStack漏洞訪(fǎng)問(wèn)其基礎(chǔ)設(shè)施����,Ghost(Pro)網(wǎng)站和Ghost.org計(jì)費(fèi)服務(wù)都受到了影響,目前也并沒(méi)有證據(jù)表明又客戶(hù)信息����、密碼或者其他數(shù)據(jù)泄露。除此之外��,攻擊者還是圖利用其服務(wù)器運(yùn)行挖礦惡意軟件�����,導(dǎo)致CPU持續(xù)高負(fù)載����,大多數(shù)系統(tǒng)出現(xiàn)超載的情況�。
Ghost 很快進(jìn)行應(yīng)急處理��,率先恢復(fù)了站點(diǎn)的正常訪(fǎng)問(wèn)�,并持續(xù)監(jiān)控所有系統(tǒng),在5月4日已全部清除挖礦惡意軟件的影響����,所有系統(tǒng)重新恢復(fù)穩(wěn)定。
受SaltStack漏洞影響的還有證書(shū)頒發(fā)機(jī)構(gòu)DigiCert����,導(dǎo)致CT Log 2用于簽署ST的密鑰被泄露,其他DigiCert CT日志在單獨(dú)的基礎(chǔ)架構(gòu)上運(yùn)行時(shí)均不受影響��,安全起見(jiàn)����,DigiCert已經(jīng)將日志拉入只讀模式。
關(guān)于SaltStack漏洞
SaltStack 是一種基于 C/S 架構(gòu)的服務(wù)器基礎(chǔ)架構(gòu)集中化管理平臺(tái)�����,具備配置管理��、遠(yuǎn)程執(zhí)行�、監(jiān)控等功能,通過(guò)部署 SaltStack 環(huán)境����,運(yùn)維人員可以在成千上萬(wàn)臺(tái)服務(wù)器上做到批量執(zhí)行命令。
漏洞信息
F-Secure 披露的兩個(gè)漏洞 CVE-2020-11651 和 CVE-2020-11652��,CVSS 評(píng)分 10/10���。在4月29日��,SaltStack已經(jīng)發(fā)布新版本修復(fù)了漏洞����。
CVE-2020-11651:攻擊者利用該漏洞構(gòu)造惡意請(qǐng)求�����,可以繞過(guò)正常的Salt Master驗(yàn)證邏輯�����,調(diào)用相關(guān)未授權(quán)函數(shù)的功能����,從而實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行�����。
CVE-2020-11652:攻擊者利用該漏洞構(gòu)造惡意請(qǐng)求�����,可以獲取服務(wù)器目錄結(jié)構(gòu)�,讀取任意文件��。
影響范圍
SaltStack < 2019.2.4
SaltStack < 3000.2
修復(fù)方案
1.升級(jí)至最新安全版本�����,升級(jí)前注意進(jìn)行快照備份��。
2.設(shè)置Salt Master的默認(rèn)監(jiān)聽(tīng)端口(4505 和 4506)禁止對(duì)公網(wǎng)開(kāi)放��,或僅對(duì)可信IP開(kāi)放�。
參考鏈接
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
https://www.securityweek.com/recent-salt-vulnerabilities-exploited-hack-lineageos-ghost-digicert-servers
