Se han descubierto dos fallas de seguridad graves en el marco de configuración SaltStack Salt de código abierto que podría permitir que un adversario ejecute código arbitrario en servidores remotos implementados en centros de datos y entornos de nube.
Los investigadores de F-Secure identificaron las vulnerabilidades a principios de marzo y se dieron a conocer el jueves, un día después de que SaltStack lanzara un parche (versión 3000.2) que abordaba los problemas, calificado con una puntuación CVSS de 10.
«Las vulnerabilidades, a las que se les asignaron los ID CVE CVE-2020-11651 y CVE-2020-11652, son de dos clases diferentes», dijo la firma de ciberseguridad.
«Uno es el desvío de autenticación donde la funcionalidad se expuso involuntariamente a clientes de red no autenticados, el otro es el cruce de directorios donde la entrada no confiable (es decir, los parámetros en las solicitudes de red) no se desinfectó correctamente, lo que permitió el acceso sin restricciones a todo el sistema de archivos del servidor maestro».
Los investigadores advirtieron que las fallas podrían explotarse en la naturaleza de manera inminente. SaltStack también insta a los usuarios a seguir las mejores prácticas para proteger el entorno de Salt.
Vulnerabilidades en el protocolo ZeroMQ
Salt es un potente motor de automatización y ejecución remota basado en Python que está diseñado para permitir a los usuarios emitir comandos a varias máquinas directamente.
Creado como una utilidad para monitorear y actualizar el estado de los servidores, Salt emplea una arquitectura maestro-esclavo que automatiza el proceso de enviar actualizaciones de configuración y software desde un depósito central usando un nodo «maestro» que implementa los cambios en un grupo objetivo de «subordinados» (por ejemplo, servidores) en masa.
La comunicación entre un maestro y un subordinado ocurre a través del bus de mensajes ZeroMQ. Además, el maestro utiliza dos canales ZeroMQ, un «servidor de solicitud» al que los minions informan los resultados de la ejecución y un «servidor de publicación», donde el maestro publica mensajes a los que los minions pueden conectarse y suscribirse.
Según los investigadores de F-Secure, el par de fallas residen dentro del protocolo ZeroMQ de la herramienta.
«Las vulnerabilidades descritas en este aviso permiten a un atacante que puede conectarse al puerto del ‘servidor de solicitud’ eludir todos los controles de autenticación y autorización y publicar mensajes de control arbitrarios, leer y escribir archivos en cualquier lugar del sistema de archivos del servidor ‘maestro’ y robar la clave secreta utilizado para autenticar al maestro como root «, dijeron los investigadores.
«El impacto es la ejecución completa de comandos remotos como root tanto en el maestro como en todos los minions que se conectan a él».
En otras palabras, un atacante puede explotar las fallas para llamar a los comandos administrativos en el servidor maestro, así como también poner en cola los mensajes directamente en el servidor de publicación maestro, lo que permite que los salt minions ejecuten comandos maliciosos.
Además, una vulnerabilidad de cruce de directorios identificada en el módulo de la rueda, que tiene funciones para leer y escribir archivos en ubicaciones específicas, puede permitir la lectura de archivos fuera del directorio previsto debido a una falla en desinfectar adecuadamente las rutas de los archivos.
Detección de maestros de sal vulnerables
Los investigadores de F-Secure dijeron que un escaneo inicial reveló más de 6,000 instancias de Salt vulnerables expuestas al Internet público.
Por lo tanto, detectar posibles ataques contra maestros susceptibles implica auditar los mensajes publicados a los minions en busca de contenido malicioso. «La explotación de las vulnerabilidades de autenticación dará como resultado que las cadenas ASCII» _prep_auth_info «o» _send_pub «aparezcan en los datos enviados al puerto del servidor de solicitudes (predeterminado 4506)», agregó.
Se recomienda enfáticamente que los usuarios de Salt actualicen los paquetes de software a la última versión.
«Agregar controles de seguridad de red que restrinjan el acceso al salt master (los puertos 4505 y 4506 son los predeterminados) a minions conocidos, o al menos bloquear Internet en general, también sería prudente, ya que los controles de autenticación y autorización proporcionados por Salt actualmente no son sólidos. lo suficiente como para estar expuesto a redes hostiles «, dijeron los investigadores.
