سیسکو هفتهی گذشته اعلام کرد که دو آسیبپذیری Salt را که بهطور فعال مورد بهرهبرداری قرار گرفته بود، وصله کرده است. این دو آسیبپذیری بحرانی که با شناسهی CVE-2020-11651 و CVE-2020-11652 ردیابی میشوند، در پایان ماه آوریل، زمانی که وصلههای SaltStack منتشر شد، بهصورت عمومی افشا شدند. بااینحال، این مسأله تنها در صورت استفاده از تنظیمات ناامن به وجود میآید.
این ابزار پیکربندی محبوب، از یک Salt Master برای جمعآوری گزارشها از عاملهای موسوم به minionها و برای انتقال پیام به آنها استفاده میکند. Salt Master معمولاً به اینترنت متصل نمیشود، اما حدود ۶ هزار نمونهی آسیبدیده در پایان ماه آوریل کشف شده است.
این آسیبپذیری بحرانی که در Salt Master نسخهی ۲۰۱۹٫۲٫۳ و Salt 3000 نسخههای ۳۰۰۰٫۱ و نسخههای قبلتر وجود دارد، ممکن است توسط مهاجمان احرازهویتنشده بهمنظور دستیابی به دسترسی معادل روت به Salt Master مورد بهرهبرداری قرار گیرد.
طی چند روز پس از انتشار وصلهها، اولین حملاتی که این آسیبپذیری را هدف قرار دادند، مشاهده شدند و سرورهای ارائهدهندهی خدمات جستجو مانند Algoria و LineageOS، Ghost و DigiCert به دلیل عدم انتشار به موقع وصله به سرعت قربانی شدند.
درحالحاضر سیسکو اعلام کرد که سرورهای salt-master که با Virtual Internet Routing Lab Personal Edition سیسکو استفاده میشوند، در تاریخ ۷ مِه بهروزرسانی شدند و در همان روز مشخص شد که از طریق آسیبپذیریهای ذکرشده در معرض خطر قرار گرفتهاند.
این شرکت در یک مشاورهنامه اعلام کرد که متوجه شده است که سرورهای salt-master سیسکو که به VIRL-PE نسخههای ۱٫۲ و ۱٫۳ خدمات میدهند، در معرض خطر قرار گرفتهاند. این سرورها در ۷ مِه سال ۲۰۲۰ میلادی بازسازی شدند.
نفوذگران به ۶ سرور ازجمله us-1.virl.info، us-2.virl.info، us3.virl.info، us-4.virl.info، vsm-us-1.virl.info و vsm-us-2.virl دسترسی پیدا کردند. سیسکو تشریح میکند که VIRL-PE سیسکو به سرورهای Salt متصل میشود که سرویس salt-master را اجرا میکنند. این سرورها برای برقراری ارتباط با یک سرور salt-master متفاوت و بسته به اینکه کدام نسخه از نرمافزار VIRL-PE سیسکو اجرا میشود، پیکربندی شدهاند.
Cisco Modeling Labs Corporate Edition که تحت تأثیر آسیبپذیریهای Salt قرار گرفته است، به سرورهای Salt سیسکو متصل نمیشود. در نرمافزار CML و VIRL-PE نسخههای ۱٫۵ و ۱٫۶، قابلیت بهرهبرداری از سرویسهای salt-master فعال به این بستگی دارد که آیا سرویس salt-master در درگاههای TCP 4505 و ۴۵۰۶ قابل دسترسی است یا خیر؟
سیسکو به کاربران خود توصیه میکند که آخرین نسخهی Cisco CML یا VIRL-PE را نصب کنند. CML Cisco یا VIRL-PE در هر دو حالت مستقل و خوشهای قابل پیادهسازی است و بسته به نوع پیادهسازی تحت تأثیر قرار میگیرد. نسخههای ۲٫۰ CML و VIRL-PE تحت تأثیر قرار نمیگیرند، زیرا سرویس salt-master را اجرا نمیکنند.
نسخههای ۱٫۶ در زمان نصب تحت تأثیر قرار نمیگیرند، زیرا سرویس salt-master در حالت مستقل اجرا نمیشود و یا در یک شبکهی خصوصی در حالت خوشهای اجرا میشود. بااینحال، هنگام بهروزرسانی از نسخهی ۱٫۵، سرویس salt-master در حال اجرا است. در نسخههای ۱٫۵ و نسخههای قبلتر، سرویس salt-master اجرا میشود و به کاربران توصیه میشود که به یک نسخهی وصلهشده بهروزرسانی کنند.
