前言:
2020年5月3日,阿里雲應急響應中心監測到近日國外某安全團隊披露了SaltStack存在認證繞過致命令執行漏洞以及目錄遍歷漏洞。在多個微信群和QQ群已經有群友反映中招,請馬上修復。
以下為通知詳情:
1.漏洞描述
SaltStack是基於Python開發的一套C/S架構配置管理工具。國外某安全團隊披露了SaltStack存在認證繞過漏洞(CVE-2020-11651)和目錄遍歷漏洞(CVE-2020-11652)。在CVE-2020-11651認證繞過漏洞中,攻擊者通過構造惡意請求,可以繞過Salt Master的驗證邏輯,調用相關未授權函數功能,從而可以造成遠程命令執行漏洞。在CVE-2020-11652目錄遍歷漏洞中,攻擊者通過構造惡意請求,讀取服務器上任意文件。阿里雲應急響應中心提醒SaltStack用戶盡快采取安全措施阻止漏洞攻擊。
2.影響版本
SaltStack < 2019.2.4
SaltStack < 3000.2
3.安全版本
2019.2.4(注:補丁版本)
3000.2
4.清理方案
當您發現服務器已經遭受攻擊,可登錄服務器使用阿里雲安全團隊提供的清除工具進行一鍵清除。
curl https://xzfile.aliyuncs.com/aliyun/salt_miner_clean.sh | /bin/bash
md5sum /proc/*/exe 2>/dev/null | grep 'a28ded80d7ab5c69d6ccde4602eef861' |awk '{print $2}' |cut -d / -f3 | xargs kill -9 2>/dev/null
md5sum /proc/*/exe 2>/dev/null | grep '8ec3385e20d6d9a88bc95831783beaeb' |awk '{print $2}' |cut -d / -f3 | xargs kill -9 2>/dev/null
rm -rf /tmp/salt-minions
rm -rf /tmp/salt-store
rm -rf /var/tmp/salt-store
5.修復方案
1. 升級至安全版本及其以上,升級前建議做好快照備份措施。
2. 設置SaltStack為自動更新,及時獲取相應補丁。
3. 將Salt Master默認監聽端口(默認4505 和 4506)設置為禁止對公網開放,或僅對可信對象開放。安全組相關設置示例如下:
6.相關鏈接
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
https://github.com/saltstack/salt/issues/57057
http://www.360doc.com/content/20/0503/10/68899713_909935218.shtml
手工修復
該漏洞早在20多天前,已經被官方修復,請及時升級,如果不方便直接升級的用戶,可以參考Github的提交,進行手工打patch操作。
https://github.com/saltstack/salt/commit/ffea7ffa215313f68b42f82984b0441e1017330c