4月30日,安全公司 F-Secure 的研究人员披露了SaltStack两个高危漏洞CVE-2020-11651 和 CVE-2020-11652。而黑客行动迅速,很快就利用该漏洞对LineageOS、Ghost和DigiCert的服务器发起了攻击。
LineageOS 是一个非常受欢迎的 Android 分支,基本是 CyanogenMod 的复刻。5月3日,LineageOS官方Twitter账号发布消息称服务器受到攻击,索性在攻击者执行破坏前就已经被发现,源代码以及相关构建未受影响。
同样是5月3日,开源博客平台Ghost透露有攻击者通过SaltStack漏洞访问其基础设施,Ghost(Pro)网站和Ghost.org计费服务都受到了影响,目前也并没有证据表明又客户信息、密码或者其他数据泄露。除此之外,攻击者还是图利用其服务器运行挖矿恶意软件,导致CPU持续高负载,大多数系统出现超载的情况。
Ghost 很快进行应急处理,率先恢复了站点的正常访问,并持续监控所有系统,在5月4日已全部清除挖矿恶意软件的影响,所有系统重新恢复稳定。
受SaltStack漏洞影响的还有证书颁发机构DigiCert,导致CT Log 2用于签署ST的密钥被泄露,其他DigiCert CT日志在单独的基础架构上运行时均不受影响,安全起见,DigiCert已经将日志拉入只读模式。
关于SaltStack漏洞SaltStack 是一种基于 C/S 架构的服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,通过部署 SaltStack 环境,运维人员可以在成千上万台服务器上做到批量执行命令。
漏洞信息F-Secure 披露的两个漏洞 CVE-2020-11651 和 CVE-2020-11652,CVSS 评分 10/10。在4月29日,SaltStack已经发布新版本修复了漏洞。
CVE-2020-11651:攻击者利用该漏洞构造恶意请求,可以绕过正常的Salt Master验证逻辑,调用相关未授权函数的功能,从而实现远程命令执行。
CVE-2020-11652:攻击者利用该漏洞构造恶意请求,可以获取服务器目录结构,读取任意文件。
影响范围SaltStack < 2019.2.4
SaltStack < 3000.2
修复方案1.升级至最新安全版本,升级前注意进行快照备份。
2.设置Salt Master的默认监听端口(4505 和 4506)禁止对公网开放,或仅对可信IP开放。
参考链接https://labs.f-secure.com/advisories/saltstack-authorization-bypass
https://www.securityweek.com/recent-salt-vulnerabilities-exploited-hack-lineageos-ghost-digicert-servers