安全通告：针对SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）植入挖矿木马的应急响应

2020年5月3日，腾讯安全威胁情报中心监测到近日国外某安全团队披露了SaltStack存在认证绕过致命令执行漏洞以及目录遍历漏洞。

 

【漏洞描述】 

SaltStack是基于Python开发的一套C/S架构配置管理工具，是一个服务器基础架构集中化管理平台，具备配置管理、远程执行、监控等功能，基于Python语言实现，结合轻量级消息队列（ZeroMQ）与Python第三方模块（Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等）构建。

 

通过部署SaltStack，运维人员可以在成千万台服务器上做到批量执行命令，根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等，SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。

 

近日，国外某安全团队披露了SaltStack存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。

 

在CVE-2020-11651认证绕过漏洞中，攻击者通过构造恶意请求，可以绕过Salt Master的验证逻辑，调用相关未授权函数功能，从而可以造成远程命令执行漏洞。在CVE-2020-11652目录遍历漏洞中，攻击者通过构造恶意请求，读取服务器上任意文件。

 

腾讯安全威胁情报中心提醒SaltStack用户尽快采取安全措施阻止漏洞攻击。

 

【影响版本】

SaltStack < 2019.2.4

SaltStack < 3000.2

 

【安全版本】

2019.2.4

3000.2

 

【修复方案】 

1. 将SaltStack升级至安全版本以上，升级前建议做好快照备份。 

2. 设置SaltStack为自动更新，及时获取相应补丁。 

3. 将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。

1)     已开通腾讯云防火墙用户设置示例如下：

设置互联网入方向阻断规则：

0.0.0.0/0  0.0.0.0/0  4505/4506   阻断

若存在公网可信对象，对公网可信对象设置互联网入方向放行规则（放行规则优先级需要高于公网可信对象放行规则优先级，否则可信对象也将被阻断）

123.123.123.123（白名单IP） 0.0.0.0/0  4505/4506  放行

2) 安全组相关设置示例如下： 

l  经典安全组，设置公网入方向Drop规则

Drop 1 0.0.0.0/0 4505/4506

 

l  专有网络安全组: 

对可信对象设置内网入方向Accept规则(建议配置vpc所属网段，以vpc是10网段为例)，然后设置内网入方向Drop all规则(drop all优先级需要低于vpc所属网段accept优先级，否则内网也将被阻断)：

Accept 1 10.0.0.0/8 4505/4506 

Drop 2 0.0.0.0/0 4505/4506

【腾讯安全解决方案】

目前，腾讯安全团队已对SaltStack远程命令执行漏洞执行应急响应，并已发布升级：

腾讯T-Sec网络资产风险监测系统已支持SaltStack远程命令执行漏洞的检测。腾讯安全网络资产风险监测系统（腾讯御知）已集成无损检测POC，企业用户可以对旗下网络资产是否受漏洞影响进行远程检测。

腾讯T-Sec主机安全产品（腾讯云镜）已支持检测SaltStack远程命令执行漏洞

腾讯T-Sec高级威胁检测系统（腾讯御界）已支持SaltStack远程命令执行漏洞检测

附：腾讯安全系列产品应对SaltStack远程命令执行漏洞的响应清单：

拦截 位置	安全产品	解决方案
威 胁 情 报	腾讯T-Sec 威胁情报云查服务 （SaaS）	1）利用SaltStack远程命令执行漏洞的黑产团伙IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。 https://cloud.tencent.com/product/tics
	腾讯T-Sec 高级威胁追溯系统	1）利用SaltStack远程命令执行漏洞的黑产相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参https://cloud.tencent.com/product/atts
边界 防护	云防火墙 （Cloud Firewall，CFW）	基于网络流量进行威胁检测与主动拦截，已支持： 1）利用SaltStack远程命令执行漏洞相关联的IOCs已支持识别检测； 2）支持下发访问控制规则封禁目标端口，主动拦截SaltStack远程命令执行漏洞相关访问流量。 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw
	腾讯T-Sec 高级威胁检测系统 （腾讯御界）	基于网络流量进行威胁检测，已支持： 1）利用SaltStack远程命令执行漏洞相关联的IOCs已支持识别检测； 2）对利用SaltStack远程命令执行漏洞入侵的相关协议特征进行识别检测； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta
终端 保护	腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP）	1）云镜已支持SaltStack远程命令执行漏洞的检测； 2）已支持查杀利用SaltStack远程命令执行漏洞入侵的挖矿木马、后门程序。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。 关于T-Sec主机安全的更多信息，可参考： https://cloud.tencent.com/product/cwp
	腾讯T-Sec终端安全管理系统（御点）	1）可查杀利用SaltStack远程命令执行漏洞入侵释放的后门木马程序、挖矿木马程序； 2）企业终端管理系统已支持检测黑产利用SaltStack远程命令执行漏洞入侵相关的网络通信。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力。关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html
网络资产 风险检测	腾讯T-Sec 网络资产风险检测系统 （腾讯御知）	1）腾讯御知已支持检测资产是否受SaltStack远程命令执行漏洞影响。 2）已集成无损检测POC，可以对企业自有资产进行远程检测。
安全管理	腾讯T-Sec 安全运营中心	基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

【已发现的漏洞利用情况】

腾讯安全威胁情报中心已经发现有黑产组织正在利用SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企业主机进行挖矿。

IOCS

md5

a28ded80d7ab5c69d6ccde4602eef861

8ec3385e20d6d9a88bc95831783beaeb

IP

217.12.210.192

206.189.92.32

URL

hxxps://bitbucket.org/samk12dd/git/raw/master/salt-store

hxxp://217.12.210.192/salt-store

hxxp://217.12.210.192/sa.sh

hxxp://206.189.92.32/tmp/v

hxxp://206.189.92.32/tmp/salt-store

【相关链接】 

https://labs.f-secure.com/advisories/saltstack-authorization-bypass

腾讯安全会关注SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）的后续进展，请随时关注腾讯御见威胁情报中心的相关公告。