Vulnerabilità Critiche su Tecnologia Saltstack
05/04/2020
Proto: N010520.
Con la presente Yoroi desidera informarla riguardo alla recente scoperta di gravissime vulnerabilità all’interno di SaltStack, tecnologia di orchestrazione multipiattaforma utilizzata per la gestione di infrastrutture IT in ambienti Enterprise, Cloud e provider di servizi. Le criticità sono note con gli identificativi CVE-2020-11651 e CVE-2020-11652.
Ricercatori di sicurezza di hanno identificato lacune all’interno della gestione delle richieste di connessione alla componente “master” della piattaforma, nodo centrale dal quale viene gestito tutto il parco macchine registrato su Saltstack. Un attaccante di rete può infatti connettersi al servizio “master” eludendo completamente le procedure di autenticazione e, tramite letture e scritture di file arbitrarie sul sistema bersaglio, prendere il completo controllo del nodo centrale e quindi di tutto il parco macchine.
Il servizio “master” è tipicamente esposto in rete tramite le porte tcp/4505 e tcp/4506 del nodo centrale, tuttavia non è raro che questo servizio sia raggiungibile anche da internet.
Figura. Potenziale esposizione internet di servizi Saltstack (Source:ShodanHQ)
Il Manutentore ha confermato la problematica rilasciando le versioni Saltstack 3000.2 e 2019.2.4 in grado di risolvere la problematica.
Considerando la centralità delle infrastrutture afflitte, la potenziale esposizione internet e la recente scoperta di operazioni di attacco ed intrusioni a matrice cyber-criminale che sfruttano le criticità, Yoroi consiglia caldamente di applicare con urgenza le patch di sicurezza a disposizione, e di appurare e valutare la limitazione dell’esposizione internet di eventuali servizi basati su tecnologia Saltstack in uso presso le vostre infrastrutture.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
