Saltstack高危漏洞(CVE-2021-25281等)风险通告,腾讯安全全面检测

2021-02-26 12:07:20
2021年2月25日,SaltStack发布安全更新,修复了由腾讯安全云鼎实验室提交的三个安全漏洞。利用这些漏洞,最严重情形可导致未授权远程代码执行。SaltStack套件已是政企机构 IT运维管理人员常用的管理工具,该组件的高危漏洞风险极大,值得高度关注。腾讯安全专家建议Saltstack用户尽快修复漏洞,避免黑客入侵后造成严重损失。

2021225日,SaltStack发布安全更新,修复了由腾讯安全云鼎实验室提交的三个安全漏洞。利用这些漏洞,最严重情形可导致未授权远程代码执行。SaltStack套件已是政企机构 IT运维管理人员常用的管理工具,该组件的高危漏洞风险极大,值得高度关注。腾讯安全专家建议Saltstack用户尽快修复漏洞,避免黑客入侵后造成严重损失。

漏洞详情:

本次披露的高危漏洞包括以下几个:

CVE-2021-25281:

salt-api未校验wheel_async客户端的eauth凭据,受此漏洞影响攻击者可远程运行master上任意wheel模块。

CVE-2021-25282:

salt.wheel.pillar_roots.write方法存在目录穿越漏洞。

CVE-2021-25283:

内置Jinja渲染引擎存在SSTIServer Side Template Injection,服务端模板注入)漏洞。

SaltStack是基于python开发的一套C/S自动化运维工具,能够支持运维管理数万台服务器,主要功能是管理配置文件和远程执行命令,十分强大且易用。

 

通过部署SaltStack,运维人员可以在成千万台服务器上做到批量执行命令,根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。 

SaltStack套件已是大量政企机构运维管理人员的配套管理工具,因而该组件的高危漏洞风险极大,值得高度关注。腾讯安全专家建议Saltstack用户尽快修复漏洞,避免黑客入侵后造成严重损失。

 

漏洞编号:

CVE-2021-25281

CVE-2021-25282

CVE-2021-25283

 

漏洞等级:高危

 

受影响的版本:

Saltstack 3002.2之前的所有版本

SaltStack <= 3002.2

SaltStack <= 3001.4

SaltStack <= 3000.6


安全版本:

SaltStack >= 3002.3

SaltStack >= 3001.5

SaltStack >= 3000.7

 

漏洞分析与验证:

腾讯安全通过研究发现,通过组合公布的漏洞,可以达到无需登录实现远程命令执行的效果。

通过发送精心构造的4HTTP请求,即可在目标机器上执行任意命令。



网络空间测绘:

腾讯安全网络空间测绘结果显示,Saltstack组件在全球应用分布较广,美国占比最高(38.26%)、其次是中国(26.51%)、爱尔兰(6.38%)。在中国大陆地区,浙江、北京、广东、上海四省市位居前列,占比接近80%

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。

漏洞修复建议:

1. SaltStack升级到3002.3, 3001.5, and 3000.7及以上的安全版本,或升级到Saltstack的最新官方补丁,官方下载地址 https://repo.saltstack.com 

2. 如果没有用到wheel_async模块,可以在salt/salt/netapi/__init__.py中将其删除,可临时缓解该漏洞。 


腾讯安全解决方案:

1.腾讯T-Sec主机安全(云镜)漏洞库日期2021-1-22之后的版本,已支持SaltStack多个高危漏洞进行检测。 

2.腾讯T-Sec漏洞扫描服务漏洞特征库日期2021-1-22之后的版本,已支持检测全网资产是否存在SaltStack多个高危漏洞,并提醒用户修复。 

3.腾讯T-Sec云防火墙规则库日期2021-1-22之后的版本,已支持对SaltStack多个高危漏洞的检测和拦截。

腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用。 

4.腾讯T-Sec高级威胁检测系统(御界)规则库日期2021-1-22之后的版本,已支持对SaltStack多个高危漏洞的攻击检测。 

5.腾讯T-Sec Web应用防火墙已支持对SaltStack多个高危漏洞的防护。

 

时间线:

2021120日,腾讯安全云鼎实验室安全研究员@1mperio发现漏洞,提交给SaltStack官方;

2021121日,SaltStack官方发布公告确认该问题;

2021122日,腾讯安全全系列产品上线检测、防护能力;

2021130日,SaltStack官方分配CVE-2021-25281CVE-2021-25282CVE-2021-25283

2021225日,SaltStack发布修复补丁,并向腾讯安全云鼎实验室公开致谢。

2021226日,腾讯安全发布漏洞风险通告。

 

参考链接:

https://www.saltstack.com/blog/active-saltstack-cve-announced-2021-jan-21/

https://saltproject.io/blog/

https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/ 


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。




最新资讯