受SaltStack漏洞影响，思科部分服务器被黑

Posted 2021-05-01 虫虫搜奇

日前，著名网络设备厂商思科公司表示，其内部某些思科虚拟互联网路由实验室个人版VIRL-PE后端服务器被渗透入侵。入侵的途径是月前披露的SaltStack漏洞。

思科发安全公告中指出：思科基础设施维护和思科VIRL-PE使用了SaltStack工具，其SaltStack maste已于2020年5月7日升级。这些服务用于Cisco VIRL-PE 1.2和1.3版本的后端服务。

被入侵的六台后端基础结构服务器分别为：us-1.virl.info，us-2.virl.info，us-3.virl.info，us-4.virl.info和vsm -us-1.virl.info和vsm-us-2.virl.info。

思科于2020年5月7日通过应用补丁修复了SaltStack身份验证旁路漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652），已对被黑服务器进行了更新和修复。

思科还表示，以独立配置或集群配置部署的思科建模实验室企业版（CML）和思科虚拟Internet路由实验室个人版（VIRL-PE）产品也易受到攻击，因为它们"包含了正在运行的SaltStack版本会受到SaltStack master漏洞的影响。思科已经对CML和VIRL-PE产品的发布了安全更新补丁，还为无法立即更新其安装的客户提供了一种解决方法。

CML用于模拟Cisco和第三方设备，而VIRL-PE则用于在开发和测试环境中设计和测试虚拟网络。

攻击者利用的漏洞为SaltStack CVE-2020-11652和CVE-2020-11651，其中CVE-2020-11652允许读取目标目录之外的文件，可以和CVE-2020-11651结合使用，让未经身份验证的攻击者拥有完全的读写访问权限，并使他们能够窃取对SaltStack master进行身份验证所需的密钥。

据悉，思科并不是第一个宣布由于SaltStack漏洞造成安全漏洞的公司，还有数字安全公司DigiCert，LineageOS，Vates（Xen Orchestra的创建者）以及Ghost博客平台也都报告了入侵事件。

国内也有很多公司由于该漏洞导致服务器被黑，被当做矿机挖矿。

目前发现的攻击事件中，大多数被攻陷的服务器都是被用于挖矿，但是不排除用于其他更加危险的用途，比如用户恶意Dos攻击，盗窃密码和对重要数据库脱库，以此为跳板渗透内部服务等。

根据安全搜索引擎Censys 5月1日攻击面分析，在互联网上有大约5000多个的SaltStack master服务器，如果有用该服务的企业应该立即升级安全补丁，并屏蔽该服务端口（4505，4506）对公网开放。