开源SaltStack Sat配置框架中被发现了两个严重的安全漏洞，这些漏洞可能使攻击者可以在数据中心和云环境中部署的远程服务器上执行任意代码。

该漏洞由F-Secure研究人员在三月初发现，并于周四披露，这是SaltStack 发布了针对该问题的补丁程序（版本3000.2）后，其等级为CVSS评分10。

“这些漏洞已分配了CVE ID CVE-2020-11651和CVE-2020-11652属于两个不同的类别，”网络安全公司说。

“一个是身份验证绕过，其中功能会意外地暴露给未经身份验证的网络客户端，而另一个是目录遍历，其中未正确过滤不受信任的输入（即网络请求中的参数），从而可以不受限制地访问主服务器的整个文件系统。”

研究人员警告说，这些漏洞可能会立即在野外被利用。SaltStack还敦促用户遵循最佳实践来保护Salt环境。

ZeroMQ协议中的漏洞

Salt是一个功能强大的基于Python的自动化和远程执行引擎，旨在让用户直接向多台计算机发出命令。

Salt是作为监视和更新服务器状态的实用程序而构建的，它采用了主从结构，该结构使用“主”节点自动将从中央存储库中推出配置和软件更新的过程进行部署，该“主”节点将更改部署到目标组中。大量“发布服务器”。主机和发布服务器之间的通信通过ZeroMQ消息总线进行。此外，主服务器使用两个ZeroMQ通道，一个“请求服务器”，发布服务器向其报告执行结果，以及一个“发布服务器”，据F-Secure研究人员称，这对漏洞存在于该工具的ZeroMQ协议中。

“此通报中描述的漏洞使攻击者可以连接到“请求服务器”端口，以绕过所有身份验证和授权控制并发布任意控制消息，在“主”服务器文件系统上的任何位置读写文件并窃取密钥用来向主身份验证为根。”研究人员说。

“影响是完全以根用户身份远程执行主命令和与其连接的所有发布服务器。”

换句话说，攻击者可以利用这些漏洞在主服务器上调用管理命令，以及直接在主发布服务器上排队消息，此外，在wheel模块中识别出的目录遍历漏洞（具有将文件读写到特定位置的功能），由于无法正确清理文件路径，因此可以读取预期目录之外的文件。

速采取行动

F-Secure的研究人员说，初步扫描发现，有6000多个脆弱的Salt实例暴露于公共互联网。

因此，要检测对易受攻击的主机的可能攻击，就必须审核发布给小兵的邮件中是否包含任何恶意内容。他们补充说：“利用身份验证漏洞将导致在发送到请求服务器端口（默认值为4506）的数据中出现ASCII字符串“ _prep_auth_info”或“ _send_pub”。

强烈建议Salt用户将软件包更新为最新版本。

“添加网络安全控件以将对Salt主站（端口4505和4506为默认端口）的访问限制为已知的奴才，或者至少阻止更广泛的Internet，这也是谨慎的做法，因为Salt目前提供的身份验证和授权控件尚不健全足以暴露在敌对网络中。”研究人员说。

披露时间表

2020-03-12在Saltstack.com上发布的SaltStack安全团队的GPG密钥已于2018年到期，并发送了更新密钥的请求。

2020-03-16重复请求更新的GPG密钥导致将重新签名的密钥发布到安全联系页面。完整的漏洞报告已发送给SaltStack安全团队。 

2020-03-20确认收货的请求已发送到SaltStack安全团队。 

2020-03-24SaltStack安全团队确认已收到漏洞报告并正在对其进行审核。

2020-04-07SaltStack询问F-Secure是否已请求CVE来报告所报告的漏洞，而F-Secure回答是否定的，建议Salt Salt继续与Mitre联系以保留CVE ID。

2020-04-15F-Secure通知SaltStack，互联网范围内的扫描发现了6,000多个公开曝光的盐主，并担心当漏洞被披露时，它们有受到危害的风险。此外，F-Secure要求提供关于SaltStacks计划的信息以分发修补程序。

2020-04-16SaltStack通知F-Secure，该修复程序正在测试中，计划于“下周初”发布。F-Secure重申了对公开互联网上Salt主控器数量的担忧，并要求获得有关SaltStack计划如何将此版本与客户交流的信息。  

2020-04-18SaltStack将其通信计划告知F-Secure，并请求将盐主设备暴露给公共Internet的已标识IP地址列表，以及有关替代公开方法的建议。

2020-04-20F-Secure提供IP地址列表，并建议采用多阶段通信策略作为替代方案。

2020-04-23SaltStack向用户发布预先通知，敦促他们不要在29日发布修补补程序后将其发布到Internet上，并准备应用该修补程序：

（https://github.com/saltstack/community/blob/master/doc/ Community-Message.pdf）。

2020-04-27 F-Secure向SaltStack请求有关为漏洞分配的CVE ID的信息。

 2020-04-29F-Secure再次向SaltStack请求CVE ID。

 2020-04-29SaltStack使用分配的CVE标识符进行响应。

 2020-04-29SaltStack发布了解决这些问题的版本3000.2和2019.2.4。

 2020-04-30  F-Secure发布资讯。

参考：

https://labs.f-secure.com/advisories/saltstack-authorization-bypass

修复：

https://repo.saltstack.com