vlambda博客
学习文章列表

近日，奇安信CERT监测到国外安全团队披露SaltStack框架存在三个安全漏洞：认证绕过漏洞（CVE-2020-25592）和命令注入漏洞（CVE-2020-16846）以及逻辑漏洞（CVE-2020-17490）。其中认证绕过漏洞（CVE-2020-25592）与命令注入漏洞（CVE-2020-16846）可以搭配使用从而造成未授权远程命令执行。鉴于这些漏洞危害较大，建议客户尽快安装更新补丁或升级到最新版本。

SaltStack是基于Python开发的和C/S架构的开源自动化运维工具，具备远程任务执行、配置管理和监控等功能。近日，奇安信CERT监测到国外安全团队披露SaltStack框架存在三个安全漏洞：认证绕过漏洞（CVE-2020-25592）和命令注入漏洞（CVE-2020-16846）以及逻辑漏洞（CVE-2020-17490）。

CVE-2020-25592是因为没有实现恰当的访问控制校验。攻击者可以通过构造恶意请求来访问salt-api相关接口。

CVE-2020-16846 是因为不恰当的引入占位符导致攻击者通过结合CVE-2020-25592漏洞构造恶意请求，实现未授权远程命令执行。

奇安信CERT第一时间复现了CVE-2020-25592、CVE-2020-16846漏洞，复现截图如下：

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

SaltStack 2015

SaltStack 2016

SaltStack 2017

SaltStack 2018

SaltStack 2019

SaltStack 3000

SaltStack 3001

SaltStack 3002

请通过以下链接下载和更新补丁：

https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

以下版本已经有最新的安装包可供下载，您可从SaltStack仓库中（repo.saltstack.com）下载安全软件包：

3002.x

3001.x 

3000.x

2019.x

以下版本已经提供了漏洞修复补丁，可从https://gitlab.com/saltstack/open/salt-patches下载并更新补丁：

3002

3001.1, 3001.2

3000.3, 3000.4

2019.2.5, 2019.2.6

2018.3.5

2017.7.4, 2017.7.8

2016.11.3, 2016.11.6, 2016.11.10

2016.3.4, 2016.3.6, 2016.3.8

2015.8.10, 2015.8.13

如果您暂时无法更新补丁，请注意将salt-api限制在内网。

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.11.06版本，支持对SaltStack CVE-2020-16846: 命令注入漏洞 、CVE-2020-25592: 验证绕过漏洞的防护，当前规则正在测试中，将于11月6日发布，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10306版本，支持对SaltStack CVE-2020-16846: 命令注入漏洞 、CVE-2020-25592: 验证绕过漏洞的防护，当前规则正在测试中，将于11月6日发布，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对SaltStack命令注入漏洞的防护。

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.1105.12482及以上版本。规则名称：SaltStack 命令注入漏洞(CVE-2020-16846/ CVE-2020-25592)，规则ID：0x10020B5B。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS3000/5000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：5961，建议用户尽快升级检测规则库至2011051014以后版本并启用该检测规则。

奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2011051100” 及以上版本并启用规则ID:1228101进行检测防御。

参考资料

[1]https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

时间线

2020年11月5日，奇安信 CERT发布安全风险通告

奇安信A-TEAM招人啦！

奇安信A-TEAM正在寻找安全研究员，及时关注、跟进、挖掘最新的漏洞，维护公司的漏洞情报库，为公司产品和实战攻防能力赋能。输出研究文章、演讲、报告等为团队及公司提升影响力。

奇安信A-TEAM 团队专注于网络实战攻击研究、攻防安全研究、黑灰产对抗研究。早在Oracle第二季度关键补丁更新公告中，就被评为了“在线状态安全性贡献者”。A-TEAM 团队还曾多次率先提供Windows域、Exchange、Weblogic等重大安全问题的风险通告及可行的处置措施并获得官方致谢。同时，A-TEAM 还是奇安信CERT的支撑团队，在Web渗透、互联网底层协议分析、APT攻防对抗，前瞻性攻防工具预研等方面均积累了丰富的实战经验。

只要你满足其中任意三点：

* 对从事漏洞研究工作充满热情

* 理解常见安全漏洞产生原理及防护方法

* 了解常见编程语言，具有一定的代码编写能力

* 独立分析过公开漏洞

* 独立挖掘过通用型漏洞（有CVE、CNVD编号）

* 独立撰写过较深入的漏洞分析文章

那么，你将得到：

* 补充医疗保险+定期体检----你的健康我来保障

* 定期团建----快乐工作交给我

* 福利年假+带薪病假----满足各种休假需求

* 下午茶----满足你每天的味蕾

快来投简历吧！

心动不如行动！快给 [email protected] 投简历吧！！！