Des CVE critiques de Saltstack permettent une prise de contrôle de l'infrastructure
Cette semaine, Saltstack a annoncé deux vulnérabilités critiques, CVE-2020-11651 et CVE-2020-11652. Ces vulnérabilités permettent à un attaquant de contourner les contrôles d'authentification et d'autorisation pour prendre le contrôle de tout ce que Saltstack gère, y compris l'infrastructure cloud, les serveurs, les bases de données et, dans certains cas, les terminaux des utilisateurs comme les ordinateurs portables.
S'il n'est pas rare que des vulnérabilités critiques apparaissent plusieurs fois dans l'année, celle-ci est particulièrement préoccupante car il ne s'agit pas seulement de prendre le contrôle d'une machine - un attaquant pourrait potentiellement posséder toute l'infrastructure d'une organisation - sans tenir compte des contrôles tels que l'authentification multifactorielle, les mots de passe forts, le TLS ou les analyses de vulnérabilité semestrielles.
En début de semaine, l'équipe de Censys a commencé à scanner l'Internet à la recherche de serveurs Salt et a découvert 5 122 serveurs Salt exposés et probablement vulnérables, connectés à l'Internet. Il s'agit d'un fait notable puisque les maîtres Salt ne devraient JAMAIS être directement accessibles depuis l'Internet, et c'est également une pratique recommandée par l'entreprise. Il vaut donc probablement la peine de revérifier les règles de votre pare-feu pour tous les services exposés à Internet, même s'il s'agit de "Read-Only Friday ? ???". Olle Segerdahl, l'ingénieur de F-Secure à qui l'on doit la découverte et la divulgation de cette vulnérabilité, aurait déclaré : "Patch by Friday or compromised by Monday". Si vous souhaitez accéder à nos données à des fins de recherche, contactez-nous ici en décrivant brièvement votre projet.
Alors que vous êtes ici et que vous vous apprêtez à enfreindre les règles du "vendredi en lecture seule" ? ???, nous avons pensé qu'il serait bon de se pencher sur d'autres logiciels qui ont probablement besoin d'être mis à jour. Vous trouverez ci-dessous une liste restreinte de versions de serveurs/logiciels courants que nous voyons fréquemment dans la nature et qui vous feront passer un mauvais moment s'ils ne sont pas corrigés.
- Apache (version actuelle : 2.4.43)
- Serveurs Apache 2.2 (fin de vie en 2015) - Il suffit d'échanger votre adresse IP ou CIDR.
- Vulnérabilité critique dans les anciennes versions d'Apache 2.4
- PHP (version actuelle : 8.0)
- Toute version inférieure à 7.2 est ? ??? et doit être mise à jour.
- Actuellement, nous constatons environ 1 153 000 cas de PHP périmés.
- Nginx (version actuelle : 1.17.0)
- Ils ne maintiennent que deux versions qui reçoivent des mises à jour. Donc, à moins que vous n'utilisiez la v16 ou la v17, vous avez un peu de travail à faire.
- Voir les 10,8 millions de serveurs qui ont besoin de correctifs ! Êtes-vous l'un d'entre eux ?
- Le système d'exploitation (avec redémarrage)
- Il convient de vérifier que les systèmes d'exploitation des serveurs et des terminaux sont à jour.
- Si cela n'est pas déjà automatisé pour les correctifs de sécurité, c'est peut-être le bon moment pour le mettre en place. Si cela vous rassure, faites-le démarrer pendant la semaine, afin de ne pas briser le "vendredi en lecture seule" ? ??? chaque semaine.
La maintenance des serveurs n'est jamais une partie de plaisir et, malheureusement, même les outils qui sont censés nous faciliter la tâche doivent être entretenus de temps à autre. Si vous utilisez un serveur Saltstack, mettez-le à jour dès que possible et envisagez de limiter son exposition externe à l'Internet. Pendant que vous y êtes, faites un nettoyage de printemps et assurez-vous que les contrôles que vous pensez avoir mis en place sont efficaces et fonctionnent correctement.
Nous prévoyons de publier des rapports de suivi afin de vérifier si nous constatons une réduction du nombre total de serveurs Salt exposés, pour essayer de comprendre si des événements de sécurité comme celui-ci conduisent à une amélioration de l'hygiène générale en matière de sécurité.