Jetzt patchen! Attacken gegen Server mit Konfigurationssoftware Saltstack
Angreifer haben bereits erfolgreich Server mit Saltstack von LineageOS und Digicert attackiert. Sicherheitspatches sind verfügbar.
(Bild: Artur Szczybylo/Shutterstock.com)
Admins, die ihre Server mit der Konfigurationsmanagement-Software Saltstack verwalten, sollten zügig die aktuelle Version installieren. Derzeit nutzen Angreifer aktiv zwei Sicherheitslücken aus, um Schadcode auf Servern auszuführen. Das Angriffsrisiko gilt als "hoch".
Mit der Open-Source-Software Saltstack können Admins beispielsweise Server in der Cloud oder Rechenzentren automatisiert konfigurieren. Dabei sind die Server als "Master" und "Minions" miteinander verbunden.
Haben Angreifer Zugriff auf einen Request-Server, können sie an den Schwachstellen (CVE-2020-11651 Authentication Bypass, CVE-2020-11652 Directory Traversal) ansetzen. Ein Bericht der Sicherheitsforscher von F-Secure liest sich so, dass Server dafür aus dem Internet erreichbar sein müssen.
Klappt das, sollen Angreifer alle Authentifizierungen umgehen und sich durch einen Schlüsselklau gegenüber Minions als Root ausgeben können. Attacken sollen F-Secure zufolge vergleichsweise einfach auszuführen sein. Weitere Details dazu zeigen sie in ihrem Beitrag auf.
Gefährliche Position
Da der Master und alle Minions miteinander verbunden sind, können Angreifer Schadcode auf alle Server schieben und ausführen. Über diesen Weg installieren Angreifer derzeit zum Beispiel Backdoors und Crypto-Miner auf verwundbaren Servern.
Bislang gab es erfolgreiche Attacke zum Beispiel auf Server der Anbieter des alternativen Android-Systems LineageOS. Außerdem hat es die Blogging-Plattform Ghost erwischt. Auch der Aussteller von TLS-Zertifikaten Digicert hat erfolgreiche Attacken vermeldet.
Jetzt patchen!
F-Secure gibt an, mehr als 6000 öffentlich erreichbare Server mit Saltstack entdeckt zu haben. Abgesichert sind die Saltstack-Versionen 2019.2.4 und 3000.2. Admins sollten sicherstellen, dass ihre Server die Sicherheitsupdates automatisch aus dem Repo von Saltstack beziehen und installieren.
Wer die Patches zur Zeit nicht installieren kann, sollte die Default-Ports 4505 und 4506 für den Master-Zugriff blockieren. Außerdem sollten Admins den Zugriff aus dem Internet aus Sicherheitsgründen nicht zulassen. (des)
