В SaltStack Salt обнаружены критические уязвимости

В SaltStack Salt обнаружены критические уязвимости

Уязвимости исправлены в версии фреймворка 3000.2.

image

В фреймворке с открытым исходным кодом SaltStack Salt обнаружены две уязвимости , позволяющие злоумышленникам выполнять произвольный код на удаленных серверах в дата-центрах и облачных средах. Уязвимости были обнаружены специалистами компании F-Secure в марте нынешнего года и раскрыты на этой неделе, через день после выхода исправления (версии фреймворка 3000.2).

Проблемы получили идентификаторы CVE-2020-11651 и CVE-2020-11652 и максимальные 10 баллов по системе оценивания опасности уязвимостей CVSS. Первая представляет собой уязвимость обхода аутентификации, связанную с непреднамеренным раскрытием функционала неавторизованным сетевым клиентам. Вторая является уязвимостью обхода каталога, существующей из-за недостаточной проверки недоверенных входных данных (параметров в сетевых запросах). Проблема позволяет получить доступ ко всей файловой системе сервера.

SaltStack Salt – мощный движок для автоматизации и удаленного выполнения, позволяющий пользователям запускать команды непосредственно на множестве машин. Утилита предназначена для мониторинга и обновления серверов и автоматизирует процесс отправки обновлений ПО и конфигураций из центрального репозитория с помощью «мастер-узла», массово развертывающего изменения на целевых серверах.

Связь между «мастер-узлом» и серверами осуществляется с помощью шины ZeroMQ. Вдобавок «мастер-узел» использует два канала ZeroMQ – «сервер запросов», которому серверы отправляют отчеты о выполнении, и «сервер публикаций», где «мастер-узел» публикует сообщения для серверов.

Как пояснили специалисты из F-Secure, уязвимости затрагивают используемый в SaltStack Salt протокол ZeroMQ. С их помощью злоумышленник с доступом к «серверу запросов» может обойти аутентификацию и авторизацию и публиковать произвольные сообщения, читать и записывать файлы в файловой системе «мастер-узла» и похищать ключи для аутентификации на «мастер-узле» в качестве суперпользователя. В результате злоумышленник может удаленно выполнять команды с привилегиями суперпользователя на «мастер-узле» и всех подключенных к нему серверах.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.