KRITIEKE SALTSTACK KWETSBAARHEDEN DIE DATACENTERS EN CLOUDOMGEVINGEN BEÏNVLOEDEN
CVE-2020-11651
CVE-2020-11652
Bronnen
https://www.computerweekly.com/news/252482461/Critical-SaltStack-vulnerability-affects-thousands-of-datacentres
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html
https://docs.saltstack.com/en/latest/topics/releases/3000.2.html
Risico’s
Een aanvaller zou deze kritieke kwetsbaarheden kunnen uitbuiten om op afstand code uit te voeren met root rechten en willekeurige controleberichten aan zijn slaves te versturen. De tweede kwetsbaarheid staat een directory traversal aanval toe die de aanvaller ongehinderd toegang geeft tot het gehele bestandssysteem van de master server.
Beschrijving
Salt is een open source management framework, dat wordt gebruikt om de staat van servers te monitoren en te updaten. Het Salt project wordt beheerd door het bedrijf SaltStack. Het is ook zeer populair als configuratie tool om servers in datacenters en cloud omgevingen te beheren.
Deze kwetsbaarheden, CVE-2020-11651 en CVE-2020-11652, werden ontdekt in maart 2020, en beïnvloeden SaltStack's Salt versies voor 2019.2.4 en 3000.2. Een veiligheidsscan werd uitgevoerd en onthult dat meer dan 6.000 Salt masters worden blootgesteld aan het openbare internet. Aanvallers scannen massaal het Internet voor kwetsbare servers, en exploiteren deze onmiddellijk wanneer ze worden gevonden.
Voor meer gedetailleerde informatie over deze kwetsbaarheden verwijzen wij u naar:
Aanbevolen acties
CERT.be raadt aan om de laatste versie, 2019.2.4 en 3000.2, die door de leverancier werden uitgebracht, te installeren als uw configuratie de patches niet automatisch toepast.
Het is ook aanbevolen om de toegang tot de Salt master poorten te beperken vanaf het publieke internet. Standaard worden de poorten 4505 en 4506 gebruikt, maar gelieve uw eigen configuratie te controleren.