vlambda博客
学习文章列表

通告:针对SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)植入挖矿木马的应急响应

2020年5月3日,腾讯安全威胁情报中心监测到近日国外某安全团队披露了SaltStack存在认证绕过致命令执行漏洞以及目录遍历漏洞。

漏洞描述

SaltStack是基于Python开发的一套C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,基于Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。
 
通过部署SaltStack,运维人员可以在成千万台服务器上做到批量执行命令,根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。
 
近日,国外某安全团队披露了SaltStack存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。
 
在CVE-2020-11651认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过Salt Master的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞。在CVE-2020-11652目录遍历漏洞中,攻击者通过构造恶意请求,读取服务器上任意文件。
 
腾讯安全威胁情报中心提醒SaltStack用户尽快采取安全措施阻止漏洞攻击。

影响版本

SaltStack < 2019.2.4
SaltStack < 3000.2

安全版本

2019.2.4
3000.2

修复方案

1. 将SaltStack升级至安全版本以上,升级前建议做好快照备份。
 
2. 设置SaltStack为自动更新,及时获取相应补丁。
 
3. 将Salt Master默认监听端口(默认4505 和 4506)设置为禁止对公网开放,或仅对可信对象开放。


1)已开通腾讯云防火墙的用户设置示例如下:
设置互联网入方向阻断规则:
0.0.0.0/0  0.0.0.0/0  4505/4506   阻断


若存在公网可信对象,对公网可信对象设置互联网入方向放行规则(放行规则优先级需要高于公网可信对象放行规则优先级,否则可信对象也将被阻断):

123.123.123.123(白名单IP) 0.0.0.0/0  4505/4506  放行


2)安全组相关设置示例如下:

  • 经典安全组,设置公网入方向Drop规则

Drop 1 0.0.0.0/0 4505/4506

  • 专有网络安全组:

对可信对象设置内网入方向Accept规则(建议配置vpc所属网段,以vpc是10网段为例),然后设置内网入方向Drop all规则(drop all优先级需要低于vpc所属网段accept优先级,否则内网也将被阻断):

Accept 1 10.0.0.0/8 4505/4506
Drop 2 0.0.0.0/0 4505/4506


腾讯安全解决方案

目前,腾讯安全团队已对SaltStack远程命令执行漏洞执行应急响应,并已发布升级:

腾讯T-Sec网络资产风险监测系统已支持SaltStack远程命令执行漏洞的检测,腾讯安全网络资产风险监测系统(腾讯御知)已集成无损检测POC,企业可以对网络资产进行远程检测。

通告:针对SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)植入挖矿木马的应急响应


根据提供的数据显示,目前全球一共5933个IP开放了SaltStack服务,其中国内数量为1086个,占全球的18.3%,美国占28.9%1712个)

通告:针对SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)植入挖矿木马的应急响应

腾讯T-Sec主机安全产品(腾讯云镜)已支持检测SaltStack远程命令执行漏洞。


腾讯T-Sec高级威胁检测系统(腾讯御界)已支持SaltStack远程命令执行漏洞检测:


附:腾讯安全系列产品应对SaltStack远程命令执行漏洞的响应清单:

拦截

位置

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。

2)利用SaltStack远程命令执行漏洞的黑产团伙IOCs已入库。

https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。

2)利用SaltStack远程命令执行漏洞的黑产相关信息和情报已支持。

T-Sec高级威胁追溯系统的更多信息,可参https://cloud.tencent.com/product/atts

边界

防护

云防火墙

(Cloud Firewall,CFW)

基于网络流量进行威胁检测与主动拦截,已支持:

1)利用SaltStack远程命令执行漏洞相关联的IOCs已支持识别检测;

2)支持下发访问控制规则封禁目标端口,主动拦截SaltStack远程命令执行漏洞相关访问流量。

有关云防火墙的更多信息,可参考:
 https://cloud.tencent.com/product/cfw

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)利用SaltStack远程命令执行漏洞相关联的IOCs已支持识别检测;

2)对利用SaltStack远程命令执行漏洞入侵的相关协议特征进行识别检测;

3)对利用SaltStack远程命令执行漏洞入侵的相关TTPS已支持检测。

关于T-Sec高级威胁检测系统的更多信息,可参考:
 https://cloud.tencent.com/product/nta

终端

保护

腾讯T-Sec  主机安全

(Cloud Workload  Protection,CWP)

1)腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。

2)云镜已支持SaltStack远程命令执行漏洞的检测;

3)已支持查杀利用SaltStack远程命令执行漏洞入侵的挖矿木马、后门程序。

 

关于T-Sec主机安全的更多信息,可参考:
 https://cloud.tencent.com/product/cwp

腾讯T-Sec终端安全

管理系统(御点)

企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等

1)可查杀利用SaltStack远程命令执行漏洞入侵释放的后门木马程序、挖矿木马程序;

2)企业终端管理系统已支持检测黑产利用SaltStack远程命令执行漏洞入侵相关的网络通信。

关于T-Sec终端安全管理系统的更多资料,可参考:

https://s.tencent.com/product/yd/index.html

网络资产

风险检测

腾讯T-Sec 网络资产风险检测系统

(腾讯御知)

1)腾讯御知已支持检测全网资产是否受SaltStack远程命令执行漏洞影响,目前检测发现全球近6000个资产存在风险,中国大陆有1086个,占全球的18.3%。

2)已集成无损检测POC,可以对资产进行远程检测。

安全管理

腾讯T-Sec 安全运营中心

1)基于客户云端安全数据和腾讯安全大数据的云安全运营平台;

2)已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入;

3)为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。


已发现的漏洞利用情况

腾讯安全威胁情报中心已发现有黑产组织正在利用SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)入侵企业主机进行挖矿。

IOCs

MD5
a28ded80d7ab5c69d6ccde4602eef861
8ec3385e20d6d9a88bc95831783beaeb


IP
217.12.210.192
206.189.92.32


URL
hxxps://bitbucket.org/samk12dd/git/raw/master/salt-store
hxxp://217.12.210.192/salt-store
hxxp://217.12.210.192/sa.sh
hxxp://206.189.92.32/tmp/v
hxxp://206.189.92.32/tmp/salt-store


相关链接

https://labs.f-secure.com/advisories/saltstack-authorization-bypass
 
腾讯安全会密切关注SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)的后续进展,请随时关注腾讯御见威胁情报中心的相关公告。