信息來源:Freebuf
4月30日����,安全公司 F-Secure 的研究人員披露了SaltStack兩個高危漏洞CVE-2020-11651 和 CVE-2020-11652��。而黑客行動迅速�����,很快就利用該漏洞對 LineageOS�、Ghost 和DigiCert 的服務器發(fā)起了攻擊�����。
LineageOS 是一個非常受歡迎的 Android 分支���,基本是 CyanogenMod 的復刻。5月3日���,LineageOS官方Twitter賬號發(fā)布消息稱服務器受到攻擊�����,索性在攻擊者執(zhí)行破壞前就已經(jīng)被發(fā)現(xiàn)�����,源代碼以及相關構建未受影響�����。
同樣是5月3日��,開源博客平臺Ghost透露有攻擊者通過SaltStack漏洞訪問其基礎設施���,Ghost(Pro)網(wǎng)站和Ghost.org計費服務都受到了影響���,目前也并沒有證據(jù)表明又客戶信息、密碼或者其他數(shù)據(jù)泄露����。除此之外,攻擊者還是圖利用其服務器運行挖礦惡意軟件����,導致CPU持續(xù)高負載,大多數(shù)系統(tǒng)出現(xiàn)超載的情況����。
Ghost 很快進行應急處理�,率先恢復了站點的正常訪問�����,并持續(xù)監(jiān)控所有系統(tǒng)�����,在5月4日已全部清除挖礦惡意軟件的影響�,所有系統(tǒng)重新恢復穩(wěn)定。
受SaltStack漏洞影響的還有證書頒發(fā)機構DigiCert��,導致CT Log 2用于簽署ST的密鑰被泄露�,其他DigiCert CT日志在單獨的基礎架構上運行時均不受影響,安全起見����,DigiCert已經(jīng)將日志拉入只讀模式���。
關于SaltStack漏洞
SaltStack 是一種基于 C/S 架構的服務器基礎架構集中化管理平臺��,具備配置管理�����、遠程執(zhí)行�、監(jiān)控等功能,通過部署 SaltStack 環(huán)境�����,運維人員可以在成千上萬臺服務器上做到批量執(zhí)行命令���。
漏洞信息
F-Secure 披露的兩個漏洞 CVE-2020-11651 和 CVE-2020-11652�,CVSS 評分 10/10��。在4月29日�����,SaltStack已經(jīng)發(fā)布新版本修復了漏洞����。
CVE-2020-11651:攻擊者利用該漏洞構造惡意請求,可以繞過正常的Salt Master驗證邏輯����,調(diào)用相關未授權函數(shù)的功能,從而實現(xiàn)遠程命令執(zhí)行。
CVE-2020-11652:攻擊者利用該漏洞構造惡意請求���,可以獲取服務器目錄結構�����,讀取任意文件�����。
影響范圍
SaltStack < 2019.2.4
SaltStack < 3000.2
修復方案
1.升級至最新安全版本����,升級前注意進行快照備份�。
2.設置Salt Master的默認監(jiān)聽端口(4505 和 4506)禁止對公網(wǎng)開放,或僅對可信IP開放����。
參考鏈接
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
https://www.securityweek.com/recent-salt-vulnerabilities-exploited-hack-lineageos-ghost-digicert-servers
