Kritische Saltstack CVEs ermöglichen die Übernahme der Infrastruktur
Diese Woche hat Saltstack zwei kritische Sicherheitslücken bekannt gegeben: CVE-2020-11651 und CVE-2020-11652. Diese Schwachstellen ermöglichen es einem Angreifer, sowohl die Authentifizierungs- als auch die Autorisierungskontrollen zu umgehen und effektiv alles zu übernehmen, was Saltstack verwaltet; dazu gehören Cloud-Infrastrukturen, Server, Datenbanken und in einigen Fällen sogar Benutzerendpunkte wie Laptops.
Es ist zwar nicht ungewöhnlich, dass kritische Sicherheitslücken mehrmals im Jahr auftreten, aber diese ist besonders besorgniserregend, weil es nicht nur darum geht, die Kontrolle über einen einzelnen Computer zu übernehmen - ein Angreifer könnte potenziell die gesamte Infrastruktur eines Unternehmens besitzen, unabhängig von Kontrollen wie Multifaktor-Authentifizierung, sicheren Passwörtern, TLS oder halbjährlichen Schwachstellen-Scans.
Anfang dieser Woche begann das Team von Censys damit, das Internet nach Salt-Servern zu durchsuchen und entdeckte 5.122 ungeschützte und wahrscheinlich verwundbare Salt-Server, die mit dem Internet verbunden sind. Dies ist bemerkenswert, da Salt-Master NIEMALS direkt vom Internet aus zugänglich sein sollten und dies auch eine vom Unternehmen empfohlene Best Practice ist. Es lohnt sich also, die Firewall-Regeln für alle Dienste, die mit dem Internet verbunden sind, doppelt zu überprüfen, auch wenn es sich um "Read-Only Friday ????" handelt. Olle Segerdahl, der F-Secure-Ingenieur, dem die Entdeckung und Offenlegung dieser Schwachstelle zugeschrieben wird, wird mit den Worten zitiert: "Patch bis Freitag oder kompromittiert bis Montag". Wenn Sie zu Forschungszwecken Zugang zu unseren Daten erhalten möchten, können Sie sich hier mit einer kurzen Beschreibung Ihres Projekts melden.
Da Sie gerade hier sind und Ihre "Read-Only Friday ????"-Regeln brechen, dachten wir, es wäre ein guter Zeitpunkt, um einige andere Software anzusprechen, die wahrscheinlich aktualisiert werden muss. Nachfolgend finden Sie eine kurze Liste gängiger Server-/Softwareversionen, die wir häufig in freier Wildbahn sehen und die Ihnen zu 100 % Ärger bereiten, wenn sie nicht gepatcht werden.
- Apache (Aktuelle Version: 2.4.43)
- Apache 2.2 Server (End of Life in 2015) - Tauschen Sie einfach Ihre IP-Adresse oder CIDR ein
- Kritische Sicherheitslücke in älteren Apache 2.4 Versionen
- PHP (Aktuelle Version: 8.0)
- Jede Version kleiner als 7.2 ist ???? und sollte aktualisiert werden.
- Derzeit sehen wir etwa 1.153.000 Instanzen von veralteten PHP
- Nginx (Aktuelle Version: 1.17.0)
- Es gibt nur zwei Versionen, die Updates erhalten. Wenn Sie also nicht mit v16 oder v17 arbeiten, haben Sie noch ein wenig Arbeit vor sich.
- Sehen Sie alle 10,8 Millionen Server, die gepatcht werden müssen! Sind Sie einer von ihnen?
- Das Betriebssystem (mit einem Neustart)
- Es lohnt sich, zu überprüfen, ob Ihre Betriebssysteme - für Server und Endgeräte - auf dem neuesten Stand sind.
- Wenn dies nicht bereits für Sicherheitspatches automatisiert ist, wäre jetzt ein guter Zeitpunkt, dies einzurichten. Wenn Sie sich dann besser fühlen, lassen Sie es unter der Woche beginnen, damit Sie nicht jede Woche den "Read-Only-Freitag" (????) verletzen.
Serverwartung macht nie Spaß, und leider müssen auch die Tools, die uns die Arbeit erleichtern sollen, von Zeit zu Zeit gewartet werden. Wenn Sie einen Saltstack-Server betreiben, sollten Sie ihn so bald wie möglich aktualisieren und seine externe Exposition gegenüber dem Internet einschränken. Wenn Sie schon dabei sind, sollten Sie einen Frühjahrsputz durchführen und sicherstellen, dass die Kontrollen, von denen Sie glauben, dass Sie sie eingerichtet haben, effektiv sind und richtig funktionieren.
Wir planen, Folgemaßnahmen zu veröffentlichen, um festzustellen, ob sich die Gesamtzahl der gefährdeten Salt-Server verringert hat, und um zu verstehen, ob Sicherheitsereignisse wie dieses zu einer Verbesserung der allgemeinen Sicherheitshygiene führen.
