Lỗ hổng SaltStack RCE cực kỳ nghiêm trọng (CVSS score 10) ảnh hưởng đến hàng ngàn Data Center

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Hai lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong framework cấu hình mã nguồn mở SaltStack Salt có thể cho phép kẻ tấn công thực thi mã tùy ý trên các máy chủ từ xa được triển khai trong trung tâm dữ liệu và môi trường đám mây.

Các lỗ hổng đã được các nhà nghiên cứu của F-Secure phát hiện vào đầu tháng 3 và được tiết lộ vào thứ Năm, một ngày sau khi SaltStack phát hành bản vá (phiên bản 3000.2) giải quyết các vấn đề được đánh giá là cực kỳ nghiêm trọng với CVSS score 10/10 (mức độ nguy cơ cao nhất).

“Các lỗ hổng lần lượt có ID là CVE-2020-11651CVE-2020-11652. Một lỗi bỏ qua xác thực (authentication bypass) trong đó chức năng vô tình bị tiết lộ với các máy khách không được xác thực. Lỗi thứ hai là directory traversal, trong đó các input đầu vào không được kiểm tra một cách hợp lý. Điều này cho phép kẻ gian truy cập không giới hạn vào toàn bộ hệ thống tệp của master server.”

Các nhà nghiên cứu cảnh báo rằng lỗ hổng có thể sẽ được khai thác trong thực tế và ảnh hưởng tới nhiều đối tượng khác nhau. SaltStack cũng đang kêu gọi người dùng tuân theo các chỉ dẫn của hãng để bảo vệ môi trường Salt.

Các lỗ hổng trong Giao thức ZeroMQ

Salt là một công cụ thực thi từ xa và tự động hóa mạnh mẽ dựa trên Python được thiết kế để cho phép người dùng phát lệnh trực tiếp cho nhiều máy.

Được xây dựng như một tiện ích để theo dõi và cập nhật trạng thái của máy chủ, Salt sử dụng kiến ​​trúc “master-slave” tự động hóa quá trình tung ra các bản cập nhật cấu hình và phần mềm từ kho lưu trữ trung tâm bằng cách sử dụng “master node” triển khai các thay đổi cho các nhóm được gọi là “minion” (ví dụ: máy chủ) trên diện rộng.

Giao tiếp giữa master và minion xảy ra trên bus tin nhắn ZeroMQ. Ngoài ra, master sử dụng hai kênh ZeroMQ: “request server” để các minion báo cáo kết quả thực hiện và “publish server”, nơi master xuất bản các tin nhắn mà minion có thể kết nối và đăng ký.

Theo các nhà nghiên cứu của F-Secure, cặp lỗ hổng nằm trong giao thức ZeroMQ của công cụ.

“Các lỗ hổng cho phép kẻ tấn công có thể kết nối với cổng ‘request server’ bỏ qua tất cả các bước xác thực và ủy quyền. Sau đó chúng xuất bản các lệnh kiểm soát tùy ý, bao gồm đọc và ghi tệp ở bất cứ đâu trên hệ thống tệp máy chủ ‘master’ và đánh cắp khóa bí mật để xác thực với master dưới quyền root”, các nhà nghiên cứu cho biết.

“Hậu quả là kẻ xấu có thể thực thi lệnh từ xa đầy đủ như root trên cả master và tất cả các minion kết nối với nó.”

Nói cách khác, kẻ tấn công có thể khai thác lỗ hổng để gọi các lệnh quản trị trên máy chủ master cũng như trực tiếp gửi đi các thông điệp trên master publish server, do đó cho phép các salt minion chạy các lệnh độc hại.

Hơn nữa, một lỗ hổng traversal directory được xác định trong mô-đun wheel – có chức năng đọc và ghi tệp vào các vị trí cụ thể – có thể cho phép đọc các tệp bên ngoài thư mục dự định do không kiểm tra đường dẫn tệp.

Nhiều Salt Master bị ảnh hưởng

Các nhà nghiên cứu cho biết họ đã phát hiện hơn 6.000 trường hợp Salt Master bị ảnh hưởng bởi lỗ hổng này trên mạng internet.

Việc phát hiện các cuộc tấn công đòi hỏi phải kiểm tra các tin nhắn được gửi tới các minion để tìm kiếm các lệnh độc hại trong đó. “Khai thác các lỗ hổng xác thực sẽ dẫn đến các chuỗi ASCII “_prep_auth_info” hoặc ” _send_pub” xuất hiện trong dữ liệu được gửi đến cổng máy chủ yêu cầu (mặc định 4506).”

Người dùng Salt nên cập nhật các gói phần mềm lên phiên bản mới nhất.

“Thêm các thiết lập bảo mật hạn chế quyền truy cập vào Salt Master (các cổng 4505 và 4506 là mặc định) cho các minion đã biết hoặc chặn Internet là các giải pháp tình thế hiệu quả. Bởi vì các thiết lập xác thực và ủy quyền do Salt cung cấp hiện không đủ mạnh mẽ để có thể tiếp xúc với các network nguy hiểm”, các nhà nghiên cứu cho biết.

Hệ thống của bạn có bị ảnh hưởng bởi lỗ hổng SaltStack hay không?

Nhiều trung tâm dữ liệu và môi trường đám mây của các doanh nghiệp tại Việt Nam cũng sử dụng SaltStack và có thể đã bị ảnh hưởng bởi lỗ hổng này. Để kiểm tra hệ thống của mình, các doanh nghiệp được khuyến cáo sử dụng phần mềm Cloud Security để quét toàn bộ hệ thống và phát hiện sớm lỗ hổng SaltStack hay các lỗ hổng tương tự khác.

Hiện tại, CyStack – công ty An ninh mạng trực tiếp phát triển và phân phối Cloud Security – đang có chính sách hỗ trợ doanh nghiệp vượt qua đại dịch với 3 tháng dùng sản phẩm hoàn toàn miễn phí. Đăng ký nhận ưu đãi tại đây.