Критическая уязвимость в Saltstack мастере (уже под атакой)
Привет, хабр
Этой ночью началась массовая экплуатация свежей уязвимости SaltStack master <=3000.1 версий. Еще один хороший пример того, что нужно закрывать все торчащее наружу апи фаерволом.
В репозитории saltstack предупреждение появилось 9 дней назад, но я не встречал его где-либо еще в интернете, хотя и слежу за новостями подобного рода.
The vulnerabilities allow a remote attacker who connects to the request server can bypass all authentication mechanisms and publish arbitrary control messages, read and write files anywhere on the master file system.Attackers can also steal the secret keys and authenticate as a master user, results in «full remote command execution as root on both the master and all minions that connect to it.»
CVE-2020–11651 — Resides in ClearFuncs class that does not properly validate method calls, which allows attackers to retrieve user tokens.
CVE-2020–11652 — The ClearFuncs allow access to some methods due to improper sanitization, it allows arbitrary directory access to authenticated users.
Источник
Что известно на данный момент:
на все миньоны устанавливается криптомайнер salt-minions и salt-store (источник). Для очистки нужно выполнить примерно следующие командыservice salt-minion stop
rm -rf /var/tmp/salt-store
rm -rf /var/tmp/salt-minions
rm -rf /tmp/salt-store
rm -rf /tmp/salt-minions
pgrep salt-minion| xargs kill -9
pgrep salt-store| xargs kill -9
Так же троян пытается атаковать все сервисы, включая редис и докер. Изменения системных файлов пока не замечено. Актуальные новости собираются в том числе в ишью на гитхабе.
Берегите себя и свои сервера
