VARSEL (TLP:CLEAR)

[NCSC-Varsel] SaltStack-sårbarheter aktivt utnyttet

03-05-2020

SaltStack har nylig publisert ett innlegg på GitHub hvor de melder fra om flere kritiske sårbarheter i Salt Master versjon 3000.1 og tidligere[1]. Sårbarhetene har fått følgende CVE-numre: CVE-2020-11651 og CVE-2020-11652. Sårbarhetene har fått CVSS-score 10.0.

 

Utnyttelse av sårbarhetene kan blant annet tillate en angriper å forbigå all autorisering og kjøre vilkårlig kode på 'master' og alle tilkoblede 'minions'[2].

 

SaltStack melder at sårbarhetene er patchet i versjon '3000.2'. En patch med versjonsnummer '2019.2.4 er' også tilgjengelig til siste hovedversjon.

 

NSM NCSC er kjent med aktiv utnyttelse av sårbarhetene i Norge og anbefaler at berørte virksomheter oppdaterer så fort som mulig. Hvis sårbare SaltStack-tjenester har vært eksponert, bør man iverksette nødvendige undersøkelser for å avdekke om noen har utnyttet sårbarheten.

 

 

Referanser:

[1] https://github.com/saltstack/community/blob/master/doc/Community-Message.pdf

[2] https://labs.f-secure.com/advisories/saltstack-authorization-bypass

[3] https://www.us-cert.gov/ncas/current-activity/2020/05/01/saltstack-patches-critical-vulnerabilities-salt