Saltstack高危漏洞（CVE-2021-25281等）风险通告，腾讯安全全面检测

2021年2月25日，SaltStack发布安全更新，修复了由腾讯安全云鼎实验室提交的三个安全漏洞。利用这些漏洞，最严重情形可导致未授权远程代码执行。SaltStack套件已是政企机构 IT运维管理人员常用的管理工具，该组件的高危漏洞风险极大，值得高度关注。腾讯安全专家建议Saltstack用户尽快修复漏洞，避免黑客入侵后造成严重损失。

1

漏洞详情

本次披露的高危漏洞包括以下几个：

CVE-2021-25281:

salt-api未校验wheel_async客户端的eauth凭据，受此漏洞影响攻击者可远程运行master上任意wheel模块。

 

CVE-2021-25282:

salt.wheel.pillar_roots.write方法存在目录穿越漏洞。

 

CVE-2021-25283:

内置Jinja渲染引擎存在SSTI（Server Side Template Injection，服务端模板注入）漏洞。

 

SaltStack是基于python开发的一套C/S自动化运维工具，能够支持运维管理数万台服务器，主要功能是管理配置文件和远程执行命令，十分强大且易用。

 

通过部署SaltStack，运维人员可以在成千万台服务器上做到批量执行命令，根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等，SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。

 

SaltStack套件已是大量政企机构运维管理人员的配套管理工具，因而该组件的高危漏洞风险极大，值得高度关注。腾讯安全专家建议Saltstack用户尽快修复漏洞，避免黑客入侵后造成严重损失。

2

漏洞编号

CVE-2021-25281
CVE-2021-25282
CVE-2021-25283

3

漏洞等级

高危

4

受影响的版本

Saltstack 3002.2之前的所有版本

（SaltStack =< 3002.2 ）

（SaltStack =< 3001.4 ）

（SaltStack =< 3000.6 ）

5

安全版本

（SaltStack >= 3002.3 ）

（SaltStack >= 3001.5 ）

（SaltStack >= 3000.7 ）

6

漏洞分析与验证

详细分析可参考今天公众号推送的第2条。

腾讯安全通过研究发现，通过组合公布的漏洞，可以达到无需登录实现远程命令执行的效果。

通过发送精心构造的4个HTTP请求，即可在目标机器上执行任意命令。

 

 

 

7腾讯安全网络空间测绘

腾讯安全网络空间测绘结果显示，Saltstack组件在全球应用分布较广，美国占比最高（38.26%）、其次是中国（26.51%）、爱尔兰（6.38%）。在中国大陆地区，浙江、北京、广东、上海四省市位居前列，占比接近80%。

腾讯安全网络空间测绘平台通过空间测绘技术，可针对该类漏洞进行监测与响应，如有需要可联系 [email protected] 了解产品详情。

8

漏洞修复建议

1.将SaltStack升级到3002.3,3001.5,and 3000.7及以上的安全版本，或升级到Saltstack的最新官方补丁，官方下载地址 https://repo.saltstack.com

 

2.如果没有用到wheel_async模块，可以在salt/salt/netapi/__init__.py中将其删除，可临时缓解该漏洞。

注：修复漏洞前请备份资料，并进行充分测试。

9

腾讯安全解决方案

1.腾讯T-Sec主机安全（云镜）漏洞库日期2021-1-22之后的版本，已支持SaltStack多个高危漏洞进行检测。
 
2.腾讯T-Sec漏洞扫描服务漏洞特征库日期2021-1-22之后的版本，已支持检测全网资产是否存在SaltStack多个高危漏洞，并提醒用户修复。
 
3.腾讯T-Sec云防火墙规则库日期2021-1-22之后的版本，已支持对SaltStack多个高危漏洞的检测和拦截。腾讯云防火墙内置的入侵防御功能，使用虚拟补丁机制防御最新的漏洞利用。
 
4.腾讯T-Sec高级威胁检测系统（御界）规则库日期2021-1-22之后的版本，已支持对SaltStack多个高危漏洞的攻击检测。
 
5.腾讯T-Sec Web应用防火墙已支持对SaltStack多个高危漏洞的防护。

欢迎长按识别以下二维码，添加腾讯安全小助手，咨询了解更多腾讯安全产品信息。

时间线：

2021年1月20日，腾讯安全云鼎实验室安全研究员@1mperio发现漏洞，提交给SaltStack官方；

2021年1月21日，SaltStack官方发布公告确认该问题；

2021年1月22日，腾讯安全全系列产品上线检测、防护能力；

2021年1月30日，SaltStack官方分配CVE-2021-25281、CVE-2021-25282、CVE-2021-25283；

2021年2月25日，SaltStack发布修复补丁，并向腾讯安全云鼎实验室公开致谢。

2021年2月26日，腾讯安全发布漏洞风险通告。

参考链接：

https://www.saltstack.com/blog/active-saltstack-cve-announced-2021-jan-21/

https://saltproject.io/blog/

https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/

本文始发于微信公众号（腾讯安全威胁情报中心）：Saltstack高危漏洞（CVE-2021-25281等）风险通告，腾讯安全全面检测