受SaltStack漏洞影响,思科部分服务器被黑
日前,著名网络设备厂商思科公司表示,其内部某些思科虚拟互联网路由实验室个人版VIRL-PE后端服务器被渗透入侵。入侵的途径是月前披露的SaltStack漏洞。
思科发安全公告中指出:思科基础设施维护和思科VIRL-PE使用了SaltStack工具,其SaltStack maste已于2020年5月7日升级。这些服务用于Cisco VIRL-PE 1.2和1.3版本的后端服务。
被入侵的六台后端基础结构服务器分别为:us-1.virl.info,us-2.virl.info,us-3.virl.info,us-4.virl.info和vsm -us-1.virl.info和vsm-us-2.virl.info。
思科于2020年5月7日通过应用补丁修复了SaltStack身份验证旁路漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),已对被黑服务器进行了更新和修复。
思科还表示,以独立配置或集群配置部署的思科建模实验室企业版(CML)和思科虚拟Internet路由实验室个人版(VIRL-PE)产品也易受到攻击,因为它们"包含了正在运行的SaltStack版本会受到SaltStack master漏洞的影响。思科已经对CML和VIRL-PE产品的发布了安全更新补丁,还为无法立即更新其安装的客户提供了一种解决方法。
CML用于模拟Cisco和第三方设备,而VIRL-PE则用于在开发和测试环境中设计和测试虚拟网络。
攻击者利用的漏洞为SaltStack CVE-2020-11652和CVE-2020-11651,其中CVE-2020-11652允许读取目标目录之外的文件,可以和CVE-2020-11651结合使用,让未经身份验证的攻击者拥有完全的读写访问权限,并使他们能够窃取对SaltStack master进行身份验证所需的密钥。
据悉,思科并不是第一个宣布由于SaltStack漏洞造成安全漏洞的公司,还有数字安全公司DigiCert,LineageOS,Vates(Xen Orchestra的创建者)以及Ghost博客平台也都报告了入侵事件。
国内也有很多公司由于该漏洞导致服务器被黑,被当做矿机挖矿。
目前发现的攻击事件中,大多数被攻陷的服务器都是被用于挖矿,但是不排除用于其他更加危险的用途,比如用户恶意Dos攻击,盗窃密码和对重要数据库脱库,以此为跳板渗透内部服务等。
根据安全搜索引擎Censys 5月1日攻击面分析,在互联网上有大约5000多个的SaltStack master服务器,如果有用该服务的企业应该立即升级安全补丁,并屏蔽该服务端口(4505,4506)对公网开放。