WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Máy chủ Cisco bị tấn công qua lỗ hổng SaltStack
Những kẻ tấn công đã xâm phạm sáu máy chủ Cisco VIRL-PE bị ảnh hưởng bởi các lỗ hổng nghiêm trọng của SaltStack.
Theo Cisco, những kẻ tấn công đã có thể tấn công các máy chủ của mình sau khi khai thác hai lỗ hổng SaltStack đã biết. Các lỗ hổng tồn tại trong khung quản lý Salt nguồn mở, được sử dụng trong các sản phẩm công cụ mạng của Cisco.
Cisco có hai sản phẩm tích hợp SaltStack chạy dịch vụ salt-master tồn tại lỗ hổng. Đầu tiên là Cisco Model Labs Corporate Edition (CML), cung cấp cho người dùng môi trường sandbox ảo để thiết kế và cấu hình cấu trúc liên kết mạng. Thứ hai là Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE), được sử dụng để thiết kế, cấu hình và vận hành mạng bằng các phiên bản của hệ điều hành mạng Cisco.
Tin tặc đã có thể khai thác thành công các lỗ hổng trong sản phẩm VIRL-PE, dẫn đến xâm phạm sáu máy chủ phụ trợ VIRL-PE, gồm us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm-us-1.virl.info và vsm-us- 2.virl.info.
Theo Cisco, các máy chủ đã được khắc phục vào ngày 7/5. Công ty cũng đã phát hành bản cập nhật phần mềm cho hai sản phẩm bị ảnh hưởng. Bản cập nhật này rất quan trọng, được xếp hạng 10 trên 10 theo thang điểm CVSS.
Các lỗ hổng SaltStack lần đầu tiên được công khai bởi nhóm Salt Open Core vào ngày 29/4, có thể cho phép thực thi mã từ xa đầy đủ như root trên các máy chủ trong trung tâm dữ liệu và môi trường đám mây. Chúng bao gồm một vấn đề bỏ qua xác thực (CVE-2020-11651) và lỗ hổng truyền tải thư mục (CVE-2020-11652), trong đó các đầu vào không tin cậy (các tham số trong yêu cầu mạng) không được xác minh đầy đủ. Điều này lần lượt cho phép truy cập vào toàn bộ hệ thống tập tin của máy chủ chính.
SaltStack đã phát hành các bản vá cho lỗ hổng trong phiên bản 3000.2 vào ngày 30/4. Theo các nhà nghiên cứu F-Secure, những người đã phát hiện ra lỗ hổng này, một lần quét sơ bộ đã tiết lộ hơn 6.000 trường hợp Salt tồn tại lỗ hổng có thể truy cập từ Internet.
Với Cisco CML và Cisco VIRL-PE (phần mềm phát hành 1.5 và 1.6) nếu dịch vụ salt-master được kích hoạt, khả năng khai thác của sản phẩm phụ thuộc vào cách sản phẩm được triển khai.
Để bị khai thác, dịch vụ salt-master phải có thể truy cập được trên các cổng TCP 4505 và 4506. Các quản trị viên có thể kiểm tra máy chủ salt-master được cấu hình bằng cách điều hướng đến VIRL Server > Salt Configuration and Status.
Cisco khuyến nghị khách hàng nâng cấp lên bản phát hành phần mềm đã được vá lỗ hổng để khắc phục các lỗ hổng này.
Theo Cisco, những kẻ tấn công đã có thể tấn công các máy chủ của mình sau khi khai thác hai lỗ hổng SaltStack đã biết. Các lỗ hổng tồn tại trong khung quản lý Salt nguồn mở, được sử dụng trong các sản phẩm công cụ mạng của Cisco.
Cisco có hai sản phẩm tích hợp SaltStack chạy dịch vụ salt-master tồn tại lỗ hổng. Đầu tiên là Cisco Model Labs Corporate Edition (CML), cung cấp cho người dùng môi trường sandbox ảo để thiết kế và cấu hình cấu trúc liên kết mạng. Thứ hai là Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE), được sử dụng để thiết kế, cấu hình và vận hành mạng bằng các phiên bản của hệ điều hành mạng Cisco.
Tin tặc đã có thể khai thác thành công các lỗ hổng trong sản phẩm VIRL-PE, dẫn đến xâm phạm sáu máy chủ phụ trợ VIRL-PE, gồm us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm-us-1.virl.info và vsm-us- 2.virl.info.
Theo Cisco, các máy chủ đã được khắc phục vào ngày 7/5. Công ty cũng đã phát hành bản cập nhật phần mềm cho hai sản phẩm bị ảnh hưởng. Bản cập nhật này rất quan trọng, được xếp hạng 10 trên 10 theo thang điểm CVSS.
Các lỗ hổng SaltStack lần đầu tiên được công khai bởi nhóm Salt Open Core vào ngày 29/4, có thể cho phép thực thi mã từ xa đầy đủ như root trên các máy chủ trong trung tâm dữ liệu và môi trường đám mây. Chúng bao gồm một vấn đề bỏ qua xác thực (CVE-2020-11651) và lỗ hổng truyền tải thư mục (CVE-2020-11652), trong đó các đầu vào không tin cậy (các tham số trong yêu cầu mạng) không được xác minh đầy đủ. Điều này lần lượt cho phép truy cập vào toàn bộ hệ thống tập tin của máy chủ chính.
SaltStack đã phát hành các bản vá cho lỗ hổng trong phiên bản 3000.2 vào ngày 30/4. Theo các nhà nghiên cứu F-Secure, những người đã phát hiện ra lỗ hổng này, một lần quét sơ bộ đã tiết lộ hơn 6.000 trường hợp Salt tồn tại lỗ hổng có thể truy cập từ Internet.
Với Cisco CML và Cisco VIRL-PE (phần mềm phát hành 1.5 và 1.6) nếu dịch vụ salt-master được kích hoạt, khả năng khai thác của sản phẩm phụ thuộc vào cách sản phẩm được triển khai.
Để bị khai thác, dịch vụ salt-master phải có thể truy cập được trên các cổng TCP 4505 và 4506. Các quản trị viên có thể kiểm tra máy chủ salt-master được cấu hình bằng cách điều hướng đến VIRL Server > Salt Configuration and Status.
Cisco khuyến nghị khách hàng nâng cấp lên bản phát hành phần mềm đã được vá lỗ hổng để khắc phục các lỗ hổng này.
Theo Threatpost