Las vulnerabilidades críticas de Saltstack permiten la apropiación de infraestructuras
Esta semana Saltstack anunció dos vulnerabilidades críticas, CVE-2020-11651 y CVE-2020-11652. Estas vulnerabilidades permiten a un atacante saltarse los controles de autenticación y autorización para hacerse con el control de cualquier cosa que Saltstack esté gestionando; esto incluye infraestructura en la nube, servidores, bases de datos y, en algunos casos, incluso puntos finales de usuario como portátiles.
Aunque no es infrecuente que las vulnerabilidades críticas aparezcan varias veces a lo largo del año, ésta es especialmente preocupante porque no se trata sólo de tomar el control de una máquina: un atacante podría hacerse con toda la infraestructura de una organización, independientemente de controles como la autenticación multifactor, las contraseñas seguras, TLS o las exploraciones semestrales de vulnerabilidades.
A principios de esta semana el equipo de Censys comenzó a escanear Internet en busca de servidores Salt y descubrió 5.122 servidores Salt expuestos y probablemente vulnerables conectados a Internet. Esto es notable ya que los maestros de Salt NUNCA deberían ser accesibles directamente desde Internet, y es también una de las mejores prácticas recomendadas por la compañía. Así que probablemente merezca la pena volver a comprobar las reglas de tu cortafuegos para todos los servicios expuestos a Internet, incluso si es "Read-Only Friday ????". Olle Segerdahl, el ingeniero de F-Secure al que se atribuye el descubrimiento y la revelación de esta vulnerabilidad, ha declarado: "Patch by Friday or compromised by Monday". Si desea acceder a nuestros datos con fines de investigación, envíenos una breve descripción de su proyecto.
Mientras estás aquí y a punto de romper tus reglas de "Sólo lectura el viernes ????", pensamos que podría ser un buen momento para abordar otro software que probablemente necesita ser actualizado. A continuación se muestra una lista de las versiones de servidor / software comunes que vemos con frecuencia en la naturaleza que el 100% le causará un mal rato si se deja sin parchear.
- Apache (versión actual: 2.4.43)
- Servidores Apache 2.2 (Fin de vida en 2015) - Sólo tiene que cambiar su dirección IP o CIDR
- Vulnerabilidad crítica en versiones antiguas de Apache 2.4
- PHP (versión actual: 8.0)
- Cualquier versión inferior a 7.2 es ???? y debe actualizarse.
- Actualmente, vemos aproximadamente 1.153.000 instancias de PHP obsoleto.
- Nginx (Versión actual: 1.17.0)
- Sólo mantienen dos versiones que reciben actualizaciones. Así que, a menos que esté ejecutando v16 o v17 - usted tiene un poco de trabajo que hacer.
- Vea los 10,8 millones de servidores que necesitan parches. ¿Es usted uno de ellos?
- El sistema operativo (con un reinicio)
- Merece la pena comprobar que los sistemas operativos de servidores y terminales están actualizados.
- Si esto no está ya automatizado para los parches de seguridad, ahora podría ser un buen momento para configurarlo. Si te hace sentir mejor, haz que se inicie durante la semana, para que no rompas el "Viernes de sólo lectura ????" cada semana.
El mantenimiento del servidor nunca es divertido y, por desgracia, incluso las herramientas que se supone que hacen nuestro trabajo más fácil requieren mantenimiento de vez en cuando. Si está ejecutando una actualización del servidor Saltstack tan pronto como sea posible y considerar la limitación de su exposición externa a Internet y mientras estás en ello, hacer un poco de limpieza de primavera y asegúrese de que los controles que usted piensa que tiene en su lugar son eficaces y funcionan correctamente.
Tenemos previsto publicar informes de seguimiento para comprobar si se reduce el número total de servidores Salt expuestos e intentar comprender si este tipo de incidentes de seguridad conducen a una mejora de la higiene de la seguridad en general.
