风险通告
近日,奇安信CERT监测到SaltStack官方发布安全更新修复了三个高危漏洞,其中包括SaltStack未授权访问漏洞(CVE-2021-25281)、SaltStack任意文件写漏洞(CVE-2021-25282)、SaltStack服务端模板注入漏洞(CVE-2021-25283)等多个高危漏洞。通过组合这三个漏洞,可以导致远程代码执行。目前奇安信已经通过组合这三个漏洞复现远程代码执行,鉴于漏洞危害较大,建议客户尽快自查修复。
1、对CVE-2021-25283复现及组合三个漏洞进行无身份认证远程代码执行。
2、增加奇安信网神统一服务器安全管理平台防御方案,更新奇安信网神网络数据传感器系统检测方案、奇安信天眼检测方案及奇安信网神智慧防火墙产品防护方案。
当前漏洞状态
|
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
|
是 |
未知 |
未知 |
未知 |
SaltStack的REST API接口run中存在未授权访问漏洞(CVE-2021-25281):攻击者可以向该接口发送发起异步调用,在异步调用中未作鉴权,从而绕过权限鉴定,执行salt的任意python模块,奇安信CERT第一时间复现,截图如下。
SaltStack的pillar_roots.write模块中存在任意文件写漏洞(CVE-2021-25282):在该模块中,代码直接拼接了pillar_roots和用户传入的path,通过传入../可以达到目录遍历,从而在目标目录写入恶意文件,奇安信CERT第一时间复现,截图如下。
SaltStack的默认模板渲染引擎存在服务端模板注入漏洞(CVE-2021-25283):通过配置sdb模块配置文件可以向Jinja2传递恶意payload,当salt-master加载配置文件时即可触发SSTI里面的恶意代码。奇安信CERT第一时间复现,截图如下。
通过组合上述三个漏洞即可达到远程代码执行的效果,截图如下。
SaltStack <= 3002.2
SaltStack <= 3001.5
SaltStack <= 3000.7
2.缓解措施:如果没有用到wheel_async模块,可以在salt/salt/netapi/__init__.py中将其删除,可以临时缓解未授权访问漏洞(CVE-2021-25281)
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对SaltStack多个高危漏洞(CVE-2021-25281、CVE-2021-25282、CVE-2021-25283)的防护。
奇安信网神天堤防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2103021400” 及以上版本并启用规则ID: 1234601进行检测。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6232,建议用户尽快升级检测规则库至2102270015以后版本并启用该检测规则。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0302. 12676上版本。规则名称:SaltStack 未授权访问漏洞(CVE-2021-25281),规则ID:0x10020BDD; SaltStack文件任意写漏洞(CVE-2021-25282),规则ID:0x10020BDC; SaltStack服务端模板注入漏洞(CVE-2021-25283),规则ID:0x10020BE1。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神统一服务器安全管理平台更新入侵防御规则库
奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2021.03.05版本,支持对Saltstack模板注入漏洞CVE-2021-25283的防护,当前规则正在测试中,将于3月5日发布,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。
2021年2月26日,奇安信 CERT发布安全风险通告
2021年3月2日,奇安信 CERT发布安全风险通告第二次更新
本文始发于微信公众号(奇安信 CERT):【通告更新】SaltStack多个高危安全风险第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论