思科近日发布安全公告,表示旗下的Cisco Modeling Labs Corporate Edition(CML)与Cisco Virtual Internet Routing Lab Personal Edition(VIRL-PE)两款产品采用了含有安全漏洞的SaltStack版本,而且由自家负责维护、作为VIRL -PE后端基础设施的服务器也受到相关漏洞的波及,并有6台服务器遭到黑客入侵。
安全企业F-Secure是在今年4月30日披露,由SaltStack所打造的Salt开源管理框架含有两个安全漏洞。Salt可用来监控与更新服务器的状态,每台服务器上执行一个名为minion的代理人,并可连接了master,而Salt则会收集来自minion的报告,再发布minion可执行的更新消息;Salt的默认通信协议为ZeroMQ,master会提供两个ZeroMQ实例,一个称为请求服务器(request server),供minion报告状态,另一个称为发布服务器(publish server),由master发布消息给minion。
然而,F-Secure在Salt管理框架上发现了CVE-2020-11651与CVE-2020-11652两个安全漏洞,前者属于认证绕过漏洞,后者则为目录穿越(directory traversal)漏洞,这两个漏洞将允许连接到请求服务器的黑客绕过所有的身份认证与认证控制,发布任意的控制消息,在master服务器的文件系统读取及写入文件,并窃取密钥取得根权限。
Salt不仅是SaltStack基础设施自动化软件的核心,也经常是数据中心及云计算环境中用来管理服务器的配置工具。
虽然SaltStack在4月29日就修补了上述漏洞,但在漏洞曝光的一周内便传出多起攻击事件,受害者包括LineageOS项目、DigiCert、Xen Orchestra与Algolia,而思科显然也是此波的受害者之一。
思科表示,该公司的基础设施维护了用来服务Cisco VIRL-PE的salt-master服务器,其中,负责服务Cisco VIRL-PE 1.2与Cisco VIRL-PE 1.3的6台salt -master服务器遭到黑客入侵,它们分别是us-1.virl.info、us-2.virl.info、us-3.virl.info、us-4.virl.info、vsm-us-1 .virl.info与vsm-us-2.virl.info。
此外,该公司所销售的CML与Cisco VIRL-PE产品也都内置了含有漏洞的SaltStack版本,不管是独立部署或是集群配置都会被波及。
思科已在5月7日修补了上述产品与内部服务器的安全漏洞。