2020年5月3日,騰訊安全威脅情報中心監測到近日國外某安全團隊披露了SaltStack存在認證繞過致命令執行漏洞以及目錄遍歷漏洞。
漏洞描述
SaltStack是基於Python開發的一套C/S架構配置管理工具,是一個服務器基礎架構集中化管理平台,具備配置管理、遠程執行、監控等功能,基於Python語言實現,結合輕量級消息隊列(ZeroMQ)與Python第三方模塊(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)構建。
通過部署SaltStack,運維人員可以在成千萬台服務器上做到批量執行命令,根據不同業務進行配置集中化管理、分發文件、采集服務器數據、操作系統基礎及軟件包管理等,SaltStack是運維人員提高工作效率、規范業務配置與操作的利器。
近日,國外某安全團隊披露了SaltStack存在認證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)。
在CVE-2020-11651認證繞過漏洞中,攻擊者通過構造惡意請求,可以繞過Salt Master的驗證邏輯,調用相關未授權函數功能,從而可以造成遠程命令執行漏洞。在CVE-2020-11652目錄遍歷漏洞中,攻擊者通過構造惡意請求,讀取服務器上任意文件。
騰訊安全威脅情報中心提醒SaltStack用戶盡快采取安全措施阻止漏洞攻擊。
影響版本
SaltStack < 2019.2.4
SaltStack < 3000.2
安全版本
2019.2.4
3000.2
修復方案
1. 將SaltStack升級至安全版本以上,升級前建議做好快照備份。
2. 設置SaltStack為自動更新,及時獲取相應補丁。
3. 將Salt Master默認監聽端口(默認4505 和 4506)設置為禁止對公網開放,或僅對可信對象開放。
1)已開通騰訊雲防火牆的用戶設置示例如下:
設置互聯網入方向阻斷規則:
0.0.0.0/0 0.0.0.0/0 4505/4506 阻斷
若存在公網可信對象,對公網可信對象設置互聯網入方向放行規則(放行規則優先級需要高於公網可信對象放行規則優先級,否則可信對象也將被阻斷):
123.123.123.123(白名單IP) 0.0.0.0/0 4505/4506 放行
2)安全組相關設置示例如下:
-
經典安全組,設置公網入方向Drop規則
-
專有網絡安全組:對可信對象設置內網入方向Accept規則(建議配置vpc所屬網段,以vpc是10網段為例),然后設置內網入方向Drop all規則(drop all優先級需要低於vpc所屬網段accept優先級,否則內網也將被阻斷):
-
Accept 1 10.0.0.0/8 4505/4506
Drop 2 0.0.0.0/0 4505/4506
騰訊安全解決方案
目前,騰訊安全團隊已對SaltStack遠程命令執行漏洞執行應急響應,並已發布升級:
騰訊T-Sec網絡資產風險監測系統已支持SaltStack遠程命令執行漏洞的檢測,騰訊安全網絡資產風險監測系統(騰訊御知)已集成無損檢測POC,企業可以對網絡資產進行遠程檢測。
根據提供的數據顯示,目前全球一共5933個IP開放了SaltStack服務,其中國內數量為1086個,占全球的18.3%,美國占28.9%(1712個)。
騰訊T-Sec主機安全產品(騰訊雲鏡)已支持檢測SaltStack遠程命令執行漏洞。
騰訊T-Sec高級威脅檢測系統(騰訊御界)已支持SaltStack遠程命令執行漏洞檢測: