Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17575 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【安全风险通告】SaltStack漏洞搭配可远程命令执行,SaltStack多个...
本文来自公众号:奇安信 CERT   2020.11.05 11:40:18


近日,奇安信CERT监测到国外安全团队披露SaltStack框架存在三个安全漏洞: 认证绕过漏洞(CVE-2020-25592)和命令注入漏洞(CVE-2020-16846)以及逻辑漏洞(CVE-2020-17490)。 其中认证绕过漏洞(CVE-2020-25592)与命令注入漏洞(CVE-2020-16846)可以搭配使用从而造成未授权远程命令执行。 鉴于这些漏洞危害较大,建议客户尽快安装更新补丁或升级到最新版本。


奇安信 CERT


漏洞描述


SaltStack是基于Python开发的和C/S架构的开源自动化运维工具,具备远程任务执行、配置管理和监控等功能。近日,奇安信CERT监测到国外安全团队披露SaltStack框架存在三个安全漏洞:认证绕过漏洞(CVE-2020-25592)和命令注入漏洞(CVE-2020-16846)以及逻辑漏洞(CVE-2020-17490)。


CVE-2020-25592是因为没有实现恰当的访问控制校验。攻击者可以通过构造恶意请求来访问salt-api相关接口。


CVE-2020-16846 是因为不恰当的引入占位符导致攻击者通过结合CVE-2020-25592漏洞构造恶意请求,实现未授权远程命令执行。


奇安信CERT第一时间复现了CVE-2020-25592、CVE-2020-16846漏洞,复现截图如下:



风险等级


奇安信 CERT风险评级为: 高危

风险等级: 蓝色(一般事件)


影响范围

SaltStack 2015

SaltStack 2016

SaltStack 2017

SaltStack 2018

SaltStack 2019

SaltStack 3000

SaltStack 3001

SaltStack 3002



处置建议


请通过以下链接下载和更新补丁:

https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/


以下版本已经有最新的安装包可供下载,您可从SaltStack仓库中(repo.saltstack.com)下载安全软件包:

3002.x

3001.x

3000.x

2019.x


以下版本已经提供了漏洞修复补丁,可从 https://gitlab.com/saltstack/open/salt-patches 下载并更新补丁:

3002

3001.1, 3001.2

3000.3, 3000.4

2019.2.5, 2019.2.6

2018.3.5

2017.7.4, 2017.7.8

2016.11.3, 2016.11.6, 2016.11.10

2016.3.4, 2016.3.6, 2016.3.8

2015.8.10, 2015.8.13

如果您暂时无法更新补丁,请注意将salt-api限制在内网。



产品线解决方案

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.11.06版本,支持对SaltStack CVE-2020-16846: 命令注入漏洞 、CVE-2020-25592: 验证绕过漏洞的防护,当前规则正在测试中,将于11月6日发布,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10306版本,支持对SaltStack CVE-2020-16846: 命令注入漏洞 、CVE-2020-25592: 验证绕过漏洞的防护,当前规则正在测试中,将于11月6日发布,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对SaltStack命令注入漏洞的防护。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1105.12482及以上版本。规则名称:SaltStack 命令注入漏洞(CVE-2020-16846/ CVE-2020-25592),规则ID:0x10020B5B。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:5961,建议用户尽快升级检测规则库至2011051014以后版本并启用该检测规则。


奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2011051100” 及以上版本并启用规则ID:1228101进行检测防御。


参考资料

[1]https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/



时间线

2020年11月5日,奇安信 CERT发布安全风险通告


奇安信A-TEAM招人啦!

奇安信A-TEAM正在寻找安全研究员,及时关注、跟进、挖掘最新的漏洞,维护公司的漏洞情报库,为公司产品和实战攻防能力赋能。输出研究文章、演讲、报告等为团队及公司提升影响力。

奇安信A-TEAM 团队专注于网络实战攻击研究、攻防安全研究、黑灰产对抗研究。早在Oracle第二季度关键补丁更新公告中,就被评为了“在线状态安全性贡献者”。A-TEAM 团队还曾多次率先提供Windows域、Exchange、Weblogic等重大安全问题的风险通告及可行的处置措施并获得官方致谢。同时,A-TEAM 还是奇安信CERT的支撑团队,在Web渗透、互联网底层协议分析、APT攻防对抗,前瞻性攻防工具预研等方面均积累了丰富的实战经验。

只要你满足其中任意三点:

* 对从事漏洞研究工作充满热情

* 理解常见安全漏洞产生原理及防护方法

* 了解常见编程语言,具有一定的代码编写能力

* 独立分析过公开漏洞

* 独立挖掘过通用型漏洞(有CVE、CNVD编号)

* 独立撰写过较深入的漏洞分析文章

那么,你将得到:

* 补充医疗保险+定期体检----你的健康我来保障

* 定期团建----快乐工作交给我

* 福利年假+带薪病假----满足各种休假需求

* 下午茶----满足你每天的味蕾

快来投简历吧!

心动不如行动!快给 bibotai@qianxin.com 投简历吧!!!