SaltStack多個高危漏洞風險通告,騰訊安全支持全面檢測

2022-01-29 騰訊安全威脅情報中心

SaltStack官方於11月3日發布Salt安全更新,以解決三個關鍵漏洞。未授權的遠程攻擊者通過發送特製的請求包,可造成任意命令執行。

CVE-2020-16846: 命令注入漏洞,該漏洞風險為嚴重

 

未經身份驗證的攻擊者可以通過發送特製請求包,通過Salt API注入 SSH連接命令,導致命令執行。建議安裝漏洞修復程序並重啟Salt-API。

 

CVE-2020-17490: 邏輯漏洞,該漏洞的風險為低

 

Salttls執行模塊中函數create_ca,create_csr和create_self_signed_cert中存在邏輯漏洞,不能確保密鑰使用正確的權限創建。解決方案是禁止使用tls執行模塊創建可讀的私鑰。

 

本地攻擊者通過以低權限用戶登錄salt主機,可以從當前salt程序主機上讀取密鑰內容,從而導致信息洩漏。

 

CVE-2020-25592: 驗證繞過漏洞,該漏洞的風險為嚴重

 

Salt在驗證eauth憑據和訪問控制列表ACL時存在一處驗證繞過漏洞,Salt-netapi不正確地驗證了eauth憑據和令牌。

 

未經過身份驗證的遠程攻擊者通過發送特製的請求包,可以通過salt-api繞過身份驗證,並使用salt ssh連接目標伺服器,該漏洞結合CVE-2020-16846可能造成命令執行。

SaltStack是基於Python的開源軟體,用於事件驅動的IT自動化,遠程任務執行和配置管理。支持數據中心系統和網絡部署和管理、配置自動化、SecOps編排、漏洞修復和混合雲控制的「基礎架構即代碼(IaC)」方法。

CVE-2020-16846

CVE-2020-17490

CVE-2020-25592

嚴重級

SaltStack 2015/2016/2017/2018/2019/3000/3001/3002

建議從官方網站下載最新版本,下載地址:https://repo.saltstack.com/

 

或者下載相應版本的修復補丁,補丁下載地址:https://gitlab.com/saltstack/open/salt-patches

騰訊安全團隊對該漏洞的利用進行復現驗證,發送一個精心構造的的http請求,可以獲取伺服器權限。

1.騰訊T-Sec主機安全(雲鏡)漏洞庫日期2020-11-04之後的版本,已支持SaltStack多個高危漏洞進行檢測。

2.騰訊T-Sec漏洞掃描服務漏洞特徵庫日期2020-11-04之後的版本,已支持檢測全網資產是否存在SaltStack多個高危漏洞,並提醒用戶修復。

3.騰訊T-Sec雲防火牆規則庫日期2020-11-04之後的版本,已支持對SaltStack多個高危漏洞的檢測和攔截。


騰訊雲防火牆內置的入侵防禦功能,使用虛擬補丁機制防禦最新的漏洞利用。

4.騰訊T-Sec高級威脅檢測系統(御界)規則庫日期2020-11-04之後的版本,已支持對SaltStack多個高危漏洞的攻擊檢測。

歡迎長按識別以下二維碼,添加騰訊安全小助手,諮詢了解更多騰訊安全產品信息。

2020年11月3日,SaltStack官方發布通告;

2020年11月4日,騰訊安全發布漏洞風險通告。騰訊安全旗下的T-Sec主機安全(雲鏡)、T-Sec漏洞掃描服務、T-Sec雲防火牆、T-Sec高級威脅管理系統(御界)均已支持對該漏洞的檢測或防禦。

參考連結:

https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

騰訊安全團隊現有大量崗位急招客戶端開發,Windows、Linux不限,要求3年以上安全領域相關工作經驗,具有主機安全、終端安全和零信任經驗者優先,有意請投簡歷到huntchen@tencent.com,誠邀加盟!

相關焦點

  • Saltstack高危漏洞(CVE-2021-25281等)風險通告,騰訊安全全面檢測
    騰訊安全網絡空間測繪結果顯示,Saltstack組件在全球應用分布較廣,美國佔比最高(38.26%)、其次是中國(26.51%)、愛爾蘭(6.38%)。在中國大陸地區,浙江、北京、廣東、上海四省市位居前列,佔比接近80%。
  • SaltStack 多個高危漏洞通告
    攻擊者可以通過Salt-API 的 SSH功能接口使用 SSH 命令的ProxyCommand參數進行命令注入。CVE-2021-25281: 代碼執行SaltStack SaltAPI中存在一處代碼執行漏洞。wheel_async模塊未正確處理身份驗證請求,導致攻擊者利用該模塊執行任意 python 代碼。
  • 【通告更新】SaltStack多個高危安全風險第二次更新
    近日,奇安信CERT監測到SaltStack官方發布安全更新修復了三個高危漏洞,其中包括SaltStack未授權訪問漏洞(CVE-2021-25281)、SaltStack任意文件寫漏洞(CVE-2021-25282)、SaltStack服務端模板注入漏洞(CVE-2021-25283)等多個高危漏洞。通過組合這三個漏洞,可以導致遠程代碼執行。
  • 【漏洞更新】SaltStack 多個高危漏洞(含漏洞分析及深信服解決方案)
    漏洞名稱 : SaltStack 多個高危漏洞組件名稱 : SaltStack威脅等級 : 高危影響範圍 : SaltStack &存在多個漏洞,利用組合公布的漏洞,可以達到未授權遠程代碼執行。【深信服下一代防火牆】可輕鬆防禦此漏洞, 建議部署深信服下一代防火牆的用戶更新至最新的安全防護規則,可輕鬆抵禦此高危風險。【深信服雲盾】已第一時間從雲端自動更新防護規則,雲盾用戶無需操作,即可輕鬆、快速防禦此高危風險。
  • SaltStack 多個嚴重漏洞通告
    0x00 漏洞背景2020年05月04日, 360CERT監測發現 國外安全團隊 發布了 SaltStack 存在的多個漏洞的風險通告
  • Dnsmasq: 多個高危漏洞風險通告
    DNSpooq是JSOF命名的本次披露的漏洞的統稱,該報告主要圍繞dnsmasq的漏洞展開。總計包含2處高危漏洞,2處中危漏洞,3處低危漏洞。dnsmasq中存在多個高危漏洞,影響DNS服務正常的提供,並導致DNS緩存投毒引發以下後果1. 域名劫持(網站訪問劫持、數據竊取)2.
  • 首發分析 | SaltStack遠程執行代碼多個高危漏洞透析(CVE-2021-25281/25282/25283)
    北京時間2月26日凌晨3點,SaltStack官方發布高危漏洞風險通告,包含CVE-2021-25281、25282、25283。
  • FortiWeb 多個高危漏洞安全通告
    :360CERT更新日期:2021-01-070x01事件簡述2021年01月07日,360CERT監測發現FortiWeb發布了FortiWeb 多個高危漏洞的風險通告,漏洞編號有CVE-2020-29015,CVE-2020-29016,CVE-2020-29019,CVE-2020-29018,事件等級:嚴重,事件評分:9.8。
  • Chrome 多個高危漏洞通告
    報告作者:360CERT更新日期:2021-01-120x01事件簡述2021年01月12日,360CERT監測發現Google發布了Chrome安全更新的風險通告,事件等級:嚴重,事件評分:9.6。Chrome新版下載地址https://www.google.com/intl/zh-CN/chrome/0x06產品側解決方案360企業安全瀏覽器360企業安全瀏覽器相比傳統瀏覽器,360企業安全瀏覽器兼集中管控、企業數據防護、安全大腦賦能、跨平臺適配、商用密碼算法支持、應用兼容等六大特點。請
  • 【安全風險通告】思科設備多個高危漏洞安全風險通告
    奇安信CERT監測到思科近期發布的安全通告中包含5個高危漏洞,這些漏洞無需任何用戶交互即可完全接管設備,其中包括4個遠程代碼執行漏洞和1個拒絕服務漏洞
  • 2020-11 補丁日:微軟多個產品高危漏洞安全風險通告
    >報告作者:360CERT更新日期:2020-11-110x01 事件簡述2020年11月11日,360CERT監測發現   微軟官方   發布了  11月安全更新    的風險通告,事件等級: 嚴重  ,事件評分: 9.8  。
  • VMware 多個產品中危漏洞安全風險通告
    0x00 事件背景2020年06月11日, 360CERT監測發現 VMware 發布了 桌面虛擬化產品多個漏洞 的風險通告,事件等級
  • 【漏洞通告】VMware 多個高危漏洞
    VMware Cloud Foundation 是VMWare開發的基於HCI架構的混合雲平臺,可在私有雲和公有雲之間實現一致、安全的基礎架構和運維。2021年2月24日,深信服安全團隊監測到一則VMware多個組件存在遠程代碼執行和信息洩露漏洞的信息,漏洞編號:CVE-2021-21972/CVE-2021-21973/CVE-2021-21974,漏洞危害:高危。
  • VMware產品多個高危漏洞安全風險通告
    風險通告近日,奇安信CERT監測到VMware官方發布多個關於vCenter Server、ESXi
  • Foxit多個高危漏洞通告
    高危漏洞的安全更新。此次安全更新發布了36個漏洞補丁,涵蓋了Foxit Reader、Foxit PhantomPDF兩個產品及其3D插件。其中包括了多個高危漏洞可在用戶交互的情況下完成遠程代碼執行。對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
  • 【安全風險通告】Shiro又爆高危漏洞,Apache Shiro身份驗證繞過漏洞安全風險通告
    奇安信CERT第一時間復現了CVE-2020-13933漏洞,復現截圖如下:奇安信 CERT風險評級為:高危風險等級:藍色(一般事件)Apache Shiro < 1.6.0更新至最新版本:http://shiro.apache.org/download.html
  • 【安全風險通告】VMware vCenter Server多個漏洞安全風險通告
    收錄於話題 #安全風險通告近日,奇安信CERT監測到VMware官方發布多個VMware Cloud Foundation/VMware vCenter Server的中/高危漏洞,其中包括VMware vCenter Server 文件上傳漏洞 (CVE-2021-22005)、VMware vCenter Server 本地提權漏洞 (CVE-2021-21991)、VMware vCenter Server
  • 2020-12 補丁日: 微軟多個高危漏洞通告
    報告編號:B6-2020-120902報告來源:360CERT報告作者:360CERT更新日期:2020-12-090x01 漏洞簡述2020年12月09日,360CERT監測發現   微軟官方   發布了  12月安全更新    的風險通告,事件等級: 嚴重  ,事件評分: 9.8  。
  • Apache Log4j2遠程代碼執行漏洞風險緊急通告,騰訊安全支持檢測攔截
    長按二維碼關注騰訊安全威脅情報中心騰訊安全攻防團隊A&D Team騰訊安全 企業安全運營團隊騰訊安全注意到,一個Apache Log4j2的高危漏洞細節被公開,攻擊者利用漏洞可以遠程執行代碼因該組件使用極為廣泛,利用門檻很低,危害極大,騰訊安全專家建議所有用戶儘快升級到安全版本。暫缺高危,該漏洞影響範圍極廣,危害極大。
  • 【漏洞更新】SaltStack Minion 命令注入漏洞,已復現
    漏洞點位於salt/modules/snapper.py的_is_text_file函數中,文件名被直接拼接傳遞到os.popen中執行,導致了命令拼接執行。官方通過利用subprocess.run替換掉os.popen,修復了該漏洞。