Se han descubierto dos fallas graves de seguridad en el marco de configuración de código abierto SaltStack Sat que podría permitir a un atacante ejecutar código arbitrario en servidores remotos implementados en centros de datos y entornos de nube.
Los investigadores de F-Secure identificaron las vulnerabilidades a principios de marzo y se revelaron el jueves, un día después de que SaltStack lanzó un parche (versión 3000.2) que abordaba los problemas , el cual fue calificado con el puntaje CVSS 10.
"Las vulnerabilidades CVE-2020-11651 y CVE-2020-11652 , son de dos clases diferentes ", dijo la firma de ciberseguridad .
"Uno es la omisión de autenticación donde la funcionalidad se expuso involuntariamente a clientes de red no autenticados, y el otro es el recorrido del directorio donde la entrada no confiable (es decir, los parámetros en las solicitudes de red) no se se verificaban correctamente, permitiendo un acceso sin restricciones al sistema de archivos completo del servidor maestro".
Los investigadores advirtieron que los defectos podrían explotarse en la naturaleza inminentemente. SaltStack también insta a los usuarios a seguir las mejores prácticas para proteger el entorno de Salt .
Vulnerabilidades en el Protocolo ZeroMQ
Salt es un potente motor de automatización y ejecución remota basado en Python que está diseñado para permitir a los usuarios emitir comandos a varias máquinas directamente.
Creado como una utilidad para monitorear y actualizar el estado de los servidores, Salt emplea una arquitectura maestro-esclavo que automatiza el proceso de enviar actualizaciones de configuración y software desde un repositorio central usando un nodo "maestro" que implementa los cambios en un grupo objetivo de "minions" (Secuaces, no los monitos amarillos que buscan a su villano) (p. ej., servidores) en masa.
La comunicación entre un maestro y un súbdito se produce a través del bus de mensajes ZeroMQ. Además, el maestro usa dos canales ZeroMQ, un "servidor de solicitud" al cual los objetivos informan los resultados de la ejecución y un "servidor de publicación".
Según los investigadores de F-Secure, el par de defectos reside dentro del protocolo ZeroMQ de la herramienta.
"Las vulnerabilidades descritas en este aviso permiten a un atacante que puede conectarse al puerto del 'servidor de solicitudes' omitir todos los controles de autenticación y autorización y publicar mensajes de control arbitrarios, leer y escribir archivos en cualquier parte del sistema de archivos del servidor 'maestro' y robar la clave secreta solía autenticarse en el maestro como root ", dijeron los investigadores.
"El impacto es la ejecución completa de comandos remotos como root tanto en el maestro como en todos los secuaces que se conectan a él".
Detectando Maestros Salt Vulnerables
Los investigadores de F-Secure dijeron que un escaneo inicial reveló más de 6,000 instancias vulnerables de Salt expuestas a internet.
La detección de posibles ataques contra maestros susceptibles, por lo tanto, implica auditar mensajes publicados a equipos secuaces para cualquier contenido malicioso. "La explotación de las vulnerabilidades de autenticación dará como resultado que las cadenas ASCII" _prep_auth_info "o" _send_pub "aparezcan en los datos enviados al puerto del servidor de solicitudes (predeterminado 4506)", agregó.
Es muy recomendable que los usuarios de Salt actualicen los paquetes de software a la última versión.
"Agregar controles de seguridad de red que restrinjan el acceso al maestro de Salt (los puertos 4505 y 4506 son los predeterminados) a los minions conocidos, o al menos bloquear el Internet más amplio, también sería prudente ya que los controles de autenticación y autorización proporcionados por Salt no son robustos.
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
 afecta a miles de centros de datos){kind=link}