高危漏洞|SaltStack远程命令执行漏洞(CVE-2020-11651CVE-2020-11652)

Posted 2021-05-01 山石网科安全技术研究院

漏洞背景

2020年5月3日，山石网科安全技术研究院旗下的安全预警分析团队监测到近日国外某安全团队披露了SaltStack存在认证绕过致命令执行漏洞以及目录遍历漏洞。漏洞编号为CVE-2020-11651和CVE-2020-11652，该漏洞已被授予高危严重等级，并且被认为足够严重，以至于负责发现漏洞的团队不会发布任何验证（PoC）代码。国内已经出现被成功利用的攻击痕迹，相关的漏洞细节可能已经被不法分子分析出来，建议使用者务必尽快修复补丁。

漏洞描述

第一个漏洞CVE-2020-11651是身份验证绕过，而第二个漏洞CVE-2020-11652是目录遍历安全漏洞。

CVE-2020-11651由ClearFuncs类引起，该类公开了_send_pub（）和_prep_auth_info（）方法。消息可以用来触发minions来运行任意命令，并且根密钥也可以被提取来调用主服务器上的管理命令。

CVE-2020-11652与Salt wheel模块有关，该模块包含用于特定目录路径下的读/写功能的命令。清理失败导致攻击者有机会重写路径元素，令牌获取类也通过ClearFuncs类漏洞暴露。

这些漏洞在一起，使攻击者可以连接到请求服务器的端口，以绕过身份验证检查并发布任意消息，并访问主服务器的完整文件系统，窃取用于以root用户身份对主服务器进行身份验证的密钥，并远程执行不仅在主系统上编写代码，而且在连接到框架的所有minions上编写代码。

漏洞危害

高危

影响版本

SaltStack < 2019.2.4

SaltStack < 3000.2

安全建议

1. 升级至安全版本及其以上，升级前建议做好快照备份措施。

2. 设置SaltStack为自动更新，及时获取相应补丁。

3. 将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。

参考信息

https://www.zdnet.com/article/saltstack-salt-critical-bugs-allow-data-center-cloud-server-hijacking-as-root/

山石网科安全技术研究院简称“山石安研院”正式成立于2020年4月，是山石网科的信息安全智库部门，其前身是原安全服务部下的安全研究团队。山石安研院整体架构包括干将、莫邪两大安全实验室，以及安全预警分析、高端攻防培训两支独立的技术团队。安研院主要负责反APT跟踪和研究、出战全球攻防赛事及承办、高端攻防技术培训、全球中英文安全预警分析发布、各类软硬件漏洞挖掘和利用研究、承接国家网络安全相关课题、不定期发布年度或半年度的各类技术报告及公司整体攻防能力展现。技术方向包括移动安全、虚拟化安全、工控安全、物联安全、区块链安全、协议安全、源码安全、反APT及反窃密。

自2015年以来为多省公安厅提供技术支撑工作，为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩，网安中国行第一名，连续两届红帽杯冠军、网鼎杯线上第一名，在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩，每年获得大量的CNVD、CNNVD、CVE证书或编号。

如需帮助请咨询 hslab@hillstonenet.com