【安全通告】SaltStack 远程命令执行漏洞风险通告(CVE-2020-11651/CVE-2020-11652)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,国外安全团队披露了 SaltStack 管理框架的多个安全漏洞(CVE-2020-11651/CVE-2020-11652),攻击者可利用该漏洞实现远程代码执行。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Saltstack是基于python开发的一套C/S自动化运维工具。
近日,SaltStack被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),其中:
CVE-2020-11651:为认证绕过漏洞,攻击者可构造恶意请求,绕过Salt Master的验证逻辑,调用相关未授权函数功能,达到远程命令执行目的。
CVE-2020-11652:为目录遍历漏洞,攻击者可构造恶意请求,读取服务器上任意文件,获取系统敏感信息信息。
风险等级
高风险
漏洞风险
远程代码执行,获取系统敏感信息
影响版本
SaltStack < 2019.2.4
SaltStack < 3000.2
修复版本
SaltStack 2019.2.4 及 3000.2
修复建议
SaltStack 官方已发布新版本修复上述漏洞,腾讯云安全建议您:
1. 升级至修复版本,下载地址参考:https://repo.saltstack.com
2. 设置安全组,禁止 Salt Master默认监听端口(默认4505 和 4506)对公网开放或只允许可信IP访问默认监听端口。
若机器已出现异常情况,用户可执行如下操作:
一、木马处理:
1)机器无法登录,或者外网无法连接。
重启服务器。
2)发现CPU异常,请执行如下命令:
kill -9 $(pgrep salt-minions)
kill -9 $(pgrep salt-store)
rm -f /var/tmp/salt-minions /tmp/salt-minions
rm -f /var/tmp/salt-store /tmp/salt-store
sed -i '/kernel.nmi_watchdog/d' /etc/sysctl.conf
二、恢复主机防护和云服务器监控组件:
安装barad_agent和stargate组件:https://cloud.tencent.com/document/product/248/6211
安装云镜:https://cloud.tencent.com/document/product/296/12236
【备注】:建议您在安装补丁前做好系统快照,避免出现意外
漏洞参考
1)外部安全通告:https://labs.f-secure.com/advisories/saltstack-authorization-bypass
2)外部媒体报道:https://www.securityweek.com/critical-vulnerability-salt-requires-immediate-patching