DevSecooOps
在流行的“盐”远程任务和配置框架中,新发现的关键漏洞对数据中心和云环境。
安全缺陷 - 由研究人员在F-Secure发现并在周三由供应商Saltstack修补 - 为攻击者绕过验证和授权设置并控制云托管服务器。
成功剥削漏洞将允许攻击者在主中央存储库上使用根特权远程执行代码。
这为从使用被劫持的系统进行加密挖掘,到将后门安装到系统或(更糟的)勒索软件攻击的情况下开辟了一系列可能性。
盐摇摇
开源盐项目位于供应商Saltstack产品范围的中心,同时也以其自己的权利流行,作为在数据中心和云环境中管理服务器的配置工具。
该技术用于监视,配置和更新服务器状态以及其他应用程序。
Salt Frameworks由“主”服务器组成,该服务器充当中央存储库,以控制执行任务并收集系统数据的“奴才”代理。
F-Secure团队发现的安全缺陷属于两个不同的类:身份验证旁路(CVE-2020-11651) 和目录遍历((CVE-2020-11652)。
F-Secure explains that, put together, the flaws would allow an attacker who can connect to the ‘request server’ port to “bypass all authentication and authorization controls and publish arbitrary control messages, read and write files anywhere on the ‘master’ server filesystem and steal the secret key used to authenticate to the master as root”.
“影响是完整的远程命令执行,作为主对主的根和所有连接到它的奴才的根,”技术咨询来自芬兰安全公司警告。
经过3月F-Secure的通知并随后确认问题后,Saltstack工程师在周三(4月29日)发布的第3000.2版中修补了这些漏洞。
敦促Sysadmins更新其系统。
暴露系统
F-Secure在对客户(Salt用户)进行安全评估的过程中遇到了问题。
在披露过程中,F-Secure研究人员发现,在Internet上公开发现6,000名盐大师,如果发现,网络犯罪分子可能会利用该大师,或者更糟的是以管理特权来控制服务器。
F-Secure研究人员怀疑并非所有潜在的暴露系统都配置为自动应用安全更新。
也许萨尔塔克(Saltstack)上周注意到这种风险,向用户发表了预先通知,敦促他们不要暴露盐大师,并让他们进行关键的安全更新(自交付以来)正在进行中。
F-Secure的首席顾问Olle Segerdahl告诉每日swbeplay2018官网ig:“所有用户都应确保他们仅将其盐大师暴露于受信任的奴才中,绝对不向公共互联网。”
Saltstack尚未回应我们对F-Secure发现的评论请求。我们将在提供更多信息时更新此故事。
Asked to comment on the wider lessons other developers might take from the episode, Segerdahl said: “Don’t expose ‘infrastructure services’ to hostile networks, these types of software packages usually run in a protected network environment and have often not received much security scrutiny.
“相反,如果您确实必须在网络上公开服务,请确保通过雇用专业人士来看看它来适合该目的。”
