SaltStack

  • Ghost, Digicert и LineageOS “посолени” от уязвимости в SaltStack

    Броени дни след публичното оповестяване на двете критични (CVSS 10) уязвимости в Salt, престъпници успешно експлоатират незащитени сървъри. Сред жертвите има и няколко популярни имена:

    • Ghost – иновативна CMS платформа, използвана от Mozilla, NASA, и DuckDuckGo. След близо 7-часово разследване на проблеми с производителността и предоставяните услуги, компанията известява своите потребители, че са станали жертва на хакери.
    • LineageOS. Базираната на Android операционна система за мобилни устройства съобщава в Twitter за неоторизиран достъп до инфраструктурата й. В статус страницата, която следи състоянието на различните услуги все още се виждат проблеми от тип – „Full outage
    • DigiCert. От второто най–голямо Certificate authority в интернет обявиха, че сървърите, отговарящи за Certificate Transperancy (CT2) са били компрометирани. В темата става ясно, че засегнатите сървъри са в различна мрежа от тези за издаване на сертификати… в противен случай, можеше да стане наистина страшно

    Това далеч не са всички жертви:

    Добрата новина е, че досега нито един от пробивите не е свързан с компрометиране на чувствителна информация, кражба или саботаж. Престъпниците са предпочели да копаят криптовалутата Monero.

    Лошата новина е, че са нанесени изключително големи щети – факт, все още често пренебрегван от обществото:

    attackers don't take the costs

     

    Изводът е, че навременното прилагане на критични ъпдейти, както и добрите практики за ограничаване на достъпа до административни услуги, може да спести много главоболия.

  • Критични уязвимости в SaltStack позволяват пълно компрометиране на Linux сървъри

    Системните и ИТ администратори, които използват Salt, трябва спешно да обновят своите инсталации до 3000.2 и 2019.2.4.

    Причината: популярният проект с отворен код за оркестриране на Linux сървъри е засегнат от две критични уязвимости, разкрити от F-Secuire LABS:

    • CVE-2020-11651 – Authentication bypass
    • CVE-2020-11652 – Directory traversal

    Salt, който е сърцето на на SaltStack, използва ZeroMQ библиотеката, като по подразбиране комуникацията между master <-> minion сървърите се осъществява на портове tcp/4505 и tcp/4506

    Според изследователите, към момента 6 хил. уязвими сървъра са свободно достъпни в интернет.

    Успешно експлоатиране на тези уязвимости би довело до Remote Code Execution (RCE) и пълно компрометиране на Master Node сървъра и всички подвластни на него Minion Nodes сървъри.

    Въпреки публичното обявяване на уязвимостите, от F-Secure не публикуват Proof-of-concept (PoC) код, с който да демонстрират своето откритие, но смятат, че способен програмист или хакер би могъл да създаде експлойт в рамките на 24 часа.

    Olle Segerdahl, консултант в F-Secure, много точно представя ситуацията и отправя призив към администраторите на тези публично достъпни сървъри:

    Patch by Friday or compromised by Monday!

    За повече технически подробности тук.

Back to top button