【紧急】通过saltstack漏洞获取root权限

【紧急】通过saltstack漏洞获取root权限

【紧急】通过saltstack漏洞获取root权限

The more you know the more you know you don’t know

近期开源的集群管理工具saltstack爆出CVSS得分为10分的漏洞

如果你对CVSS的评分没有概念，那么前几年震惊互联网圈的openssl心脏滴血漏洞，CVSS base评分为5.0，由此可知道近期爆出来的saltsatck漏洞有多么严重

漏洞信息

漏洞 CVE-2020-11651 and CVE-2020-11652

攻击者可以通过漏洞控制saltstack-master并发送指令，控制在数据中心或者云环境中的各个minion节点

该漏洞是F-secure研究人员在3月份发现的，目前该漏洞已经在最新版本被修复

本次是两个不同的漏洞导致，一个是身份验证绕过漏洞，一个是目录遍历漏洞没有过滤掉不受信任的输入，从而导致攻击者可以不受限制的访问salt-master的整个文件系统

修复方案

1. 将salt-stack版本更新至最新版本
2. 添加ACL控制，禁止其他用户访问salt-master的4505、4506端口
3. 如果可能最好将其设置在内网，目前salt-stack的对于身份验证和鉴权还不足以安全的将其暴露在公网

漏洞预防

漏洞爆出后，saltstack催促用户尽快应用saltstack的推荐管理方案

如果你不想看英文，没关系我帮你翻译一下：

系统的技巧

1. 限制可以登录到salt-master的人员
2. 登录saltstack-master通过ssh密钥登录，并在密钥中添加密码验证
3. 妥善保管好你的ssh私钥
4. 通过堡垒机或者VPN来登录salt-master
5. 限制对外暴露的端口的范围
6. 保持系统补丁更新
7. 将安全提高到高优先级列表中
8. 使用防火墙

salt的技巧

1. 订阅salt官方的通告，以便接收最新的通知
2. 使用salt acl系统来限制salt-minion的root权限
3. 使用salt acl系统来限制salt-minion可以执行哪些命令
4. 使用外部的pillar管理工具来替代登录到系统中修改文件的方式
5. 将sls文件通过版本控制工具管理起来，并经过评审后在生产环境中执行
6. 如果要将salt-master暴露给外部服务，要用salt-api\ssl并通过验证
7. salt-minion通过event系统和reactor来向master通信，而不是直接访问salt-master
8. salt-master运行在非root用户下
9. 禁用部分模块加载到minion上，例如cmd模块
10. 阅读完所有的master和minion的注释，其中有大量关于安全防护的说明
11. 特别敏感的minion可以运行在无主环境，通过salt-ssh或者modules.sudo模块来进一步控制
12. 监控salt的日志

总结

对于运维人员来说，安全是非常重要的一个环节，维护生产环境必须遵守权限最小化的思想，即使这可能给你添了一些麻烦，但相比于数据泄密、数据丢失，提前预防的代价还是要小很多。本次漏洞级别虽然比较高，但是在日常运维工作中已经控制了端口的访问权限，那么本次漏洞你只需要排期更新salt版本即可

求关注