Lỗi nghiêm trọng SaltStack RCE ảnh hưởng đến hàng ngàn trung tâm dữ liệu

Hai lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong framework cấu hình SaltStack Sat mã nguồn mở, có thể cho phép kẻ tấn công thực thi mã tùy ý trên các máy chủ từ xa được triển khai trong trung tâm dữ liệu và môi trường đám mây.

Các lỗ hổng đã được các nhà nghiên cứu của F-Secure xác định vào đầu tháng 3 này và được tiết lộ sau một ngày khi SaltStack phát hành một bản vá (phiên bản 3000.2) giải quyết các vấn đề được đánh giá với CVSS Score 10.

“Các lỗ hổng, được phân bổ ID CVE gồm CVE-2020-11651 và CVE-2020-11652, thuộc hai loại khác nhau,” công ty an ninh mạng cho biết.

“Một trong số đó là bỏ qua xác thực khi chức năng vô tình tiếp xúc với các clients mà mạng không được xác thực, còn lại là thư mục truyền tải mà trong đó đầu vào không tin cậy (tức là, các tham số trong yêu cầu mạng) đã không được cải thiện, làm sạch một cách chính xác, cho phép truy cập không giới hạn vào toàn bộ hệ thống tập tin của máy chủ chính.”

Các nhà nghiên cứu cảnh báo rằng lỗ hổng có thể sắp được khai thác trong tự nhiên. SaltStack cũng đang kêu gọi người dùng tuân theo các thực tiễn tốt nhất để bảo vệ môi trường Salt.

Các lỗ hổng trong Giao thức ZeroMQ

Salt là một công cụ thực thi từ xa và tự động hóa mạnh mẽ dựa trên Python được thiết kế để cho phép người dùng phát lệnh trực tiếp cho nhiều máy.

Được xây dựng như một tiện ích để theo dõi và cập nhật trạng thái của máy chủ, Salt sử dụng kiến ​​trúc chủ nô tự động hóa quá trình đẩy ra các bản cập nhật cấu hình và phần mềm từ kho lưu trữ trung tâm bằng cách sử dụng nút “master” triển khai các thay đổi cho nhóm mục tiêu “minions” (ví dụ: servers) đồng loạt.

Giao tiếp giữa master và minion xảy ra trên bus tin nhắn ZeroMQ. Ngoài ra, master sử dụng hai kênh ZeroMQ, “request server” để các minions báo cáo kết quả thực hiện và “publish server“, nơi master xuất bản các tin nhắn mà các minions có thể kết nối và đăng ký.

Theo các nhà nghiên cứu của F-Secure, cặp lỗ hổng nằm trong giao thức ZeroMQ của công cụ.

Các lỗ hổng được mô tả trong lời khuyên này cho phép kẻ tấn công có thể kết nối với cổng “request master” bỏ qua tất cả các điều khiển xác thực và ủy quyền và xuất bản các thông báo kiểm soát tùy ý, đọc và ghi tập tin ở bất cứ đâu trên hệ thống tập tin máy chủ “master” và đánh cắp khóa bí mật được sử dụng để xác thực với master như “root” – các nhà nghiên cứu cho biết.

“Tác động là thực thi lệnh từ xa đầy đủ như “root” trên cả master và tất cả các minions kết nối với nó.”

Nói cách khác, kẻ tấn công có thể khai thác lỗ hổng để gọi các lệnh quản trị trên “master server” cũng như xếp hàng tin nhắn trực tiếp trên “master publish server”, do đó cho phép các minions chạy các lệnh độc hại.

Hơn nữa, một lỗ hổng truyền tải thư mục được xác định trong mô-đun bánh xe – có chức năng đọc và ghi tập tin vào các vị trí cụ thể – có thể cho phép đọc các tập tin bên ngoài thư mục dự định do không vệ sinh đúng đường dẫn tập tin.

Phát hiện các lỗ hổng Salt Masters

Các nhà nghiên cứu của F-Secure cho biết chỉ một lần quét ban đầu đã tiết lộ hơn 6.000 lỗ hổng Salt, là các trường hợp tiếp xúc với internet công cộng.

Việc phát hiện các cuộc tấn công là chống lại các master nhạy cảm nhất, do đó, đòi hỏi phải kiểm tra các tin nhắn được công bố đến các minions với bất kỳ nội dung độc hại nào. “Khai thác các lỗ hổng xác thực sẽ cho kết quả là các chuỗi ASCII ” _prep_auth_info” hoặc “_send_pub” được thêm vào để xuất hiện trong dữ liệu gửi đến cổng “request server” (mặc định 4506)”.

Người dùng Salt nên cập nhật các gói phần mềm lên phiên bản mới nhất.

“Thêm các điều khiển bảo mật mạng hạn chế quyền truy cập vào Salt Master (cổng 4505 và 4506 là mặc định) cho các minions đã biết hoặc ít nhất là chặn Internet rộng hơn, cũng sẽ rất thận trọng vì các điều khiển xác thực và ủy quyền do Salt cung cấp hiện không mạnh mẽ đủ để tiếp xúc với các mạng lưới của các kẻ tấn công “, các nhà nghiên cứu cho biết.

Người Viết
LK