• Votre panier est vide.

  • LOGIN

Le bogue critique du RCE des cheminées de sel (score 10 de l’enquête CVSS) affecte des milliers de centres de données


Certains articles de veille peuvent faire l'objet de traduction automatique.


Deux graves failles de sécurité ont été découvertes dans l’open-source SaltStack Cadre de configuration du sel qui pourrait permettre à un adversaire d’exécuter un code arbitraire sur des serveurs distants déployés dans des centres de données et des environnements en nuage.

Les vulnérabilités ont été identifiées par les chercheurs de F-Secure au début du mois de mars et révélées jeudi, un jour après la publication de SaltStack publié un patch (version 3000.2) traiter les questionsLe système d’évaluation de la qualité de l’air, noté par la note 10 du CVSS.

« Les vulnérabilités, les CVE ID attribués CVE-2020-11651 et CVE-2020-11652sont de deux classes différentes », la cybersécurité La firme a déclaré.

« L’un est le contournement de l’authentification, où la fonctionnalité a été involontairement exposée à des clients réseau non authentifiés, l’autre est le parcours de répertoire, où les entrées non fiables (c’est-à-dire les paramètres des requêtes réseau) n’ont pas été correctement nettoyées, permettant un accès non limité à l’ensemble du système de fichiers du serveur principal.

Les chercheurs ont averti que les failles pourraient être exploitées dans la nature de façon imminente. SaltStack exhorte également les utilisateurs à suivre les meilleures pratiques pour sécuriser l’environnement salin.

Vulnérabilités du protocole ZeroMQ

Salt est un puissant moteur d’automatisation et d’exécution à distance basé sur Python, conçu pour permettre aux utilisateurs d’envoyer directement des commandes à plusieurs machines.

Conçu comme un utilitaire pour surveiller et mettre à jour l’état des serveurs, Salt utilise une architecture maître-esclave qui automatise le processus d’extraction de la configuration et des mises à jour logicielles à partir d’un dépôt central en utilisant un nœud « maître » qui déploie les changements à un groupe cible de « larbins » (par exemple, les serveurs) en masse.

Le communication entre un maître et un sous-fifre se fait par le bus de messages ZeroMQ. De plus, le maître utilise deux canaux ZeroMQ, un « serveur de demande » auquel les serviteurs rapportent les résultats de l’exécution et un « serveur de publication », où le maître publie les messages auxquels les serviteurs peuvent se connecter et s’abonner.

Selon les chercheurs de F-Secure, la paire de défauts réside dans le protocole ZeroMQ de l’outil.

Les vulnérabilités décrites dans cet avis permettent à un attaquant qui peut se connecter au port du « serveur de requêtes » de contourner tous les contrôles d’authentification et d’autorisation et de publier des messages de contrôle arbitraires, de lire et d’écrire des fichiers n’importe où sur le système de fichiers du serveur « maître » et de voler la clé secrète utilisée pour s’authentifier auprès du maître en tant que root », ont déclaré les chercheurs.

« L’impact est l’exécution complète de la commande à distance en tant que root sur le maître et tous les sous-fifres qui s’y connectent. »

En d’autres termes, un attaquant peut exploiter les failles pour appeler des commandes administratives sur le serveur maître ainsi que pour mettre en file d’attente des messages directement sur le serveur maître de publication, permettant ainsi aux larbins de sel d’exécuter des commandes malveillantes.

De plus, une vulnérabilité de traversée de répertoire identifiée dans le module de roue – qui a pour fonction de lire et d’écrire des fichiers à des endroits spécifiques – peut permettre la lecture de fichiers en dehors du répertoire prévu en raison d’un défaut de nettoyage des chemins d’accès.

Détecter les maîtres saliniers vulnérables

Les chercheurs de F-Secure ont déclaré qu’une première analyse a révélé plus de 6 000 cas de sels vulnérables exposés à l’Internet public.

La détection d’éventuelles attaques contre des maîtres sensibles implique donc de vérifier les messages publiés aux larbins pour détecter tout contenu malveillant. « L’exploitation des vulnérabilités d’authentification aura pour conséquence que les chaînes ASCII « _prep_auth_info » ou « _send_pub » apparaîtront dans les données envoyées au port du serveur de demande (par défaut 4506) », a-t-elle ajouté.

Il est fortement recommandé aux utilisateurs de Salt de mettre à jour les logiciels à la dernière version.

« L’ajout de contrôles de sécurité du réseau qui limitent l’accès au maître de sel (les ports 4505 et 4506 étant les ports par défaut) à des sous-fifres connus, ou au moins qui bloquent l’Internet élargi, serait également prudent car les contrôles d’authentification et d’autorisation fournis par le sel ne sont actuellement pas assez robustes pour être exposés à des réseaux hostiles », ont déclaré les chercheurs.

Voir aussi :

janvier 8, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)