Phát hiện lỗi SaltStack RCE cực nghiêm trọng ảnh hưởng đến hàng ngàn trung tâm dữ liệu

Hai lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong framework cấu hình mã nguồn mở SaltStack Salt có thể cho phép kẻ tấn công thực thi mã tùy ý trên các máy chủ từ xa được triển khai trong trung tâm dữ liệu và môi trường đám mây.

Các lỗ hổng đã được các nhà nghiên cứu của một công ty bảo mật phát hiện vào đầu tháng 3 và được tiết lộ vào thứ Năm, một ngày sau khi SaltStack phát hành bản vá (phiên bản 3000.2) giải quyết các vấn đề được đánh giá là cực kỳ nghiêm trọng với CVSS score 10/10 (mức độ nguy cơ cao nhất).

“Các lỗ hổng lần lượt có ID là CVE-2020-11651 và CVE-2020-11652. Một lỗi bỏ qua xác thực (authentication bypass) trong đó chức năng vô tình bị tiết lộ với các máy khách không được xác thực. Lỗi thứ hai là directory traversal, trong đó các input đầu vào không được kiểm tra một cách hợp lý. Điều này cho phép kẻ gian truy cập không giới hạn vào toàn bộ hệ thống tệp của master server.”

Các nhà nghiên cứu cảnh báo rằng lỗ hổng có thể sẽ được khai thác trong thực tế và ảnh hưởng tới nhiều đối tượng khác nhau. SaltStack cũng đang kêu gọi người dùng tuân theo các chỉ dẫn của hãng để bảo vệ môi trường Salt.

Salt là một công cụ thực thi từ xa và tự động hóa mạnh mẽ dựa trên Python được thiết kế để cho phép người dùng phát lệnh trực tiếp cho nhiều máy.

Được xây dựng như một tiện ích để theo dõi và cập nhật trạng thái của máy chủ, Salt sử dụng kiến ​​trúc “master-slave” tự động hóa quá trình tung ra các bản cập nhật cấu hình và phần mềm từ kho lưu trữ trung tâm bằng cách sử dụng “master node” triển khai các thay đổi cho các nhóm được gọi là “minion” (ví dụ: máy chủ) trên diện rộng.

Giao tiếp giữa master và minion xảy ra trên bus tin nhắn ZeroMQ. Ngoài ra, master sử dụng hai kênh ZeroMQ: “request server” để các minion báo cáo kết quả thực hiện và “publish server”, nơi master xuất bản các tin nhắn mà minion có thể kết nối và đăng ký.

Theo các nhà nghiên cứu bảo mật, cặp lỗ hổng nằm trong giao thức ZeroMQ của công cụ.

“Các lỗ hổng cho phép kẻ tấn công có thể kết nối với cổng ‘request server’ bỏ qua tất cả các bước xác thực và ủy quyền. Sau đó chúng xuất bản các lệnh kiểm soát tùy ý, bao gồm đọc và ghi tệp ở bất cứ đâu trên hệ thống tệp máy chủ ‘master’ và đánh cắp khóa bí mật để xác thực với master dưới quyền root”, các nhà nghiên cứu cho biết.

“Hậu quả là kẻ xấu có thể thực thi lệnh từ xa đầy đủ như root trên cả master và tất cả các minion kết nối với nó.”

Nói cách khác, kẻ tấn công có thể khai thác lỗ hổng để gọi các lệnh quản trị trên máy chủ master cũng như trực tiếp gửi đi các thông điệp trên master publish server, do đó cho phép các salt minion chạy các lệnh độc hại.

Hơn nữa, một lỗ hổng traversal directory được xác định trong mô-đun wheel – có chức năng đọc và ghi tệp vào các vị trí cụ thể – có thể cho phép đọc các tệp bên ngoài thư mục dự định do không kiểm tra đường dẫn tệp.

Nhiều Salt Master bị ảnh hưởng

Các nhà nghiên cứu cho biết họ đã phát hiện hơn 6.000 trường hợp Salt Master bị ảnh hưởng bởi lỗ hổng này trên mạng internet.

Việc phát hiện các cuộc tấn công đòi hỏi phải kiểm tra các tin nhắn được gửi tới các minion để tìm kiếm các lệnh độc hại trong đó. “Khai thác các lỗ hổng xác thực sẽ dẫn đến các chuỗi ASCII “_prep_auth_info” hoặc ” _send_pub” xuất hiện trong dữ liệu được gửi đến cổng máy chủ yêu cầu (mặc định 4506).”

Người dùng Salt nên cập nhật các gói phần mềm lên phiên bản mới nhất.

“Thêm các thiết lập bảo mật hạn chế quyền truy cập vào Salt Master (các cổng 4505 và 4506 là mặc định) cho các minion đã biết hoặc chặn Internet là các giải pháp tình thế hiệu quả. Bởi vì các thiết lập xác thực và ủy quyền do Salt cung cấp hiện không đủ mạnh mẽ để có thể tiếp xúc với các network nguy hiểm”, các nhà nghiên cứu cho biết.

Theo The Hacker News