在10月中旬被VMware完成并购的SaltStack,先是于10月30日预告,他们会在美国总统大选日11月3日,推出开源基础架构自动化管理系统Salt的修补程序,来防范可能会面临的大规模攻击。而当天该公司也如期推出,总共修补3个漏洞,其中2个的风险程度为重大等级。不过,部分漏洞已被趋势漏洞悬赏计划Zero Day Initiative(ZDI)在今年6月披露,企业应尽快安装更新程序。
这套基础架构自动化管理系统今年上半也被发现漏洞。例如,先前思科曾披露旗下采用该系统的产品,受到其漏洞影响且已有攻击行动。
这次SaltStack修补的3个漏洞,分别是CVE-2020-16846、CVE-2020-25592,以及CVE-2020-17490。这些漏洞影响3000.4、3001.2,以及3002等版本。从严重程度来看,与Salt的API有关的CVE-2020-16846与CVE-2020-25592,它们都属于重大等级,一旦黑客滥用,前者可发动壳层注入(Shell Injection)攻击,后者则能绕过身份验证机制;仅有与TLS模块加密密钥访问权限有关的CVE-2020-17490,影响较为轻微。
值得留意的是,上述漏洞被发现的时间点,有的已经超过5个月。例如,CVE-2020-16846已于6月被通报到ZDI,并被编号为ZDI-CAN-11143列管。而实际上,这些漏洞分别在8月下旬与9月,于GitHub项目上出现修补程序代码。SaltStack在11月3日的公告里,也特别提及其中2项漏洞是经由ZDI获报,发现这些漏洞的人ID是KPC。
我们通过物联网搜索引擎搜索,现在有6,153个Salt的Master节点暴露于互联网,一旦管理者没有修补上述漏洞,很可能就会面临黑客滥用漏洞的风险。虽然SaltStack宣称已提前预告要修补漏洞,但是选择在美国总统大选这天推出修补程序的做法,恐怕有待商确。
