آسیب پذیری خطرناک SaltStack RCE (با نمره CVSS 10) بر عملکرد هزاران دیتاسنتر تاثیر گذاشت

 

دو آسیب پذیری شدید امنیتی که در تنظیمات فریمورک SaltStack شناسایی شده امکان اجرای کد از راه دور در دیتا سنترها و محیط های ابری را به هکر ها می دهد.

این آسیب پذیری ها توسط محققان F-Secure در اوایل ماه مارس شناسایی شده و در روز پنجشنبه ، ۲۴ ساعت بعد از کشف آسیب پذیری یک پچ جدید (نسخه ۳۰۰۰.۲) برای وصله این مشکل، ارائه شد.

محققان نیز هشدار دادند، این آسیب پذیری ها توانایی اجرا در ابعاد گسترده را هم دارند. هم چنین SaltStack  کاربران را به استفاده از بهترین راهکار ها برای تامین امنیت محیط Salt  راهنمایی می کند.

آسیب پذیری ها در پرتکل ZeroMQ

Salt یک اتوماسیون قدرتمند مبتنی بر پایتون و موتور اجرایی از راه دور است که به کاربران امکان اجرای دستورات به صورت مستقیم، مربوط به چندین دستگاه را میدهد.

Salt به عنوان ابزاری برای نظارت و به روزرسانی وضعیت سرورها ، از یک معماری master-slave بهره می برد که فرآیند اتوماتیک پیکربندی و به روزرسانی های نرم افزار را از یک مخزن مرکزی با استفاده از یک نود master دریافت و به سمت minion (به عنوان مثال ، سرورها)، هدایت می کند.

ارتباط بین سرور master و minion با استفاده از پرتکل ZeroMQ برقرار می شود. علاوه بر این، سرور  master از دو کانال ارتباطی بر بستر ZeroMQ استفاده می کند: یکی برای “request server” که نتایج اجرای درخواست ها و ماموریت ها را گزارش می دهد و دیگری برای “publish server”، برای این که وقتی نود master پیام هایش را منتشر میکند، minion آن را انجام دهد.

طبق گفته محققان F-Secure ، این دو نقص در پروتکل ZeroMQ این ابزار قرار دارند.

این آسیب پذیری به هکرها اجازه اتصال به “request server” و بایپس کردن فرایند احراز هویت و انتشار پیام های کنترل مد نظر را می دهد که این باعث میشود دسترسی فایل ها در سرور master را به دست بیاورد و کلید های مخفی ای که برای احراز هویت کاربر root در سرور master وجود دارد را سرقت و برای بالابردن سطح دسترسی استفاده کند.

یک هکر میتواند از این آسیب پذیری ها برای اجرای دستورات در سرور master استفاده کند که این دستورات در لیست اجرای “publish server”  خواهند گرفت و از آن جایی که minion دستورات را از “publish server” می خوانند، این کد های مخرب بر روی تمامی دستگاه ها اجرا می شود.

شناسایی master های آسیب پذیر Salt

محققان F-Secure گفتند که اسکن اولیه بیش از ۶۰۰۰ مورد Salt آسیب پذیر را در اینترنت شناسایی کرد. بسیار توصیه می شود که کاربران Salt بسته های نرم افزاری را به آخرین نسخه بروزرسانی کنند.