نفوذ به سرورهای سیسکو از طریق آسیب‌پذیری‌های Salt

سیسکو هفته‌ی گذشته اعلام کرد که دو آسیب‌پذیری Salt را که به‌طور فعال مورد بهره‌برداری قرار گرفته بود، وصله کرده است. این دو  آسیب‌پذیری بحرانی که با شناسه‌ی CVE-2020-11651 و CVE-2020-11652 ردیابی می‌شوند، در پایان ماه آوریل، زمانی که وصله‌های SaltStack منتشر شد، به‌صورت عمومی افشا شدند. بااین‌حال، این مسأله تنها در صورت استفاده از تنظیمات ناامن به وجود می‌آید.

این ابزار پیکربندی محبوب، از یک Salt Master برای جمع‌آوری گزارش‌ها از عامل‌های موسوم به minionها و برای انتقال پیام به آن‌ها استفاده می‌کند. Salt Master معمولاً به اینترنت متصل نمی‌شود، اما حدود ۶ هزار نمونه‌ی آسیب‌دیده در پایان ماه آوریل کشف شده است.

این آسیب‌پذیری بحرانی که در Salt Master نسخه‌ی ۲۰۱۹٫۲٫۳ و Salt 3000 نسخه‌های ۳۰۰۰٫۱ و نسخه‌های قبل‌تر وجود دارد، ممکن است توسط مهاجمان احرازهویت‌نشده به‌منظور دست‌یابی به دسترسی معادل روت به Salt Master مورد بهره‌برداری قرار گیرد.

طی چند روز پس از انتشار وصله‌ها، اولین حملاتی که این آسیب‌پذیری را هدف قرار دادند، مشاهده شدند و سرورهای ارائه‌دهنده‌ی خدمات جستجو مانند Algoria و LineageOS، Ghost و DigiCert به دلیل عدم انتشار به موقع وصله‌ به سرعت قربانی شدند.

درحال‌حاضر سیسکو اعلام کرد که سرورهای salt-master که با Virtual Internet Routing Lab Personal Edition سیسکو استفاده می‌شوند، در تاریخ ۷ مِه به‌روزرسانی شدند و در همان روز مشخص شد که از طریق آسیب‌پذیری‌های ذکرشده در معرض خطر قرار گرفته‌اند.

این شرکت در یک مشاوره‌نامه اعلام کرد که متوجه شده است که سرورهای salt-master سیسکو که به  VIRL-PE  نسخه‌های ۱٫۲ و ۱٫۳ خدمات می‌دهند، در معرض خطر قرار گرفته‌اند. این سرورها در ۷ مِه سال ۲۰۲۰ میلادی بازسازی شدند.

نفوذگران به ۶ سرور ازجمله us-1.virl.info، us-2.virl.info، us3.virl.info، us-4.virl.info، vsm-us-1.virl.info و vsm-us-2.virl دسترسی پیدا کردند. سیسکو تشریح می‌کند که VIRL-PE سیسکو به سرورهای Salt متصل می‌شود که سرویس salt-master را اجرا می‌کنند. این سرورها برای برقراری ارتباط با یک سرور salt-master متفاوت و بسته به این‌که کدام نسخه از نرم‌افزار VIRL-PE سیسکو اجرا می‌شود، پیکربندی شده‌اند.

Cisco Modeling Labs Corporate Edition که تحت تأثیر آسیب‌پذیری‌های Salt قرار گرفته است، به سرورهای Salt سیسکو متصل نمی‌شود. در نرم‌افزار CML و VIRL-PE نسخه‌های ۱٫۵ و ۱٫۶، قابلیت بهره‌برداری از سرویس‌های salt-master فعال به این بستگی دارد که آیا سرویس salt-master در درگاه‌های TCP 4505 و ۴۵۰۶ قابل دسترسی است یا خیر؟

سیسکو به کاربران خود توصیه می‌کند که آخرین نسخه‌ی Cisco CML  یا VIRL-PE را نصب کنند. CML  Cisco یا VIRL-PE در هر دو حالت مستقل و خوشه‌ای قابل پیاده‌سازی است و بسته به نوع پیاده‌سازی تحت تأثیر قرار می‌گیرد.  نسخه‌های ۲٫۰ CML و VIRL-PE تحت تأثیر قرار نمی‌گیرند، زیرا سرویس salt-master را اجرا نمی‌کنند.

نسخه‌های ۱٫۶ در زمان نصب تحت تأثیر قرار نمی‌گیرند، زیرا سرویس salt-master در حالت مستقل اجرا نمی‌شود و یا در یک شبکه‌ی خصوصی در حالت خوشه‌ای اجرا می‌شود. بااین‌حال، هنگام به‌روزرسانی از نسخه‌ی ۱٫۵، سرویس salt-master در حال اجرا است. در نسخه‌های ۱٫۵ و نسخه‌های قبل‌تر، سرویس salt-master اجرا می‌شود و به کاربران توصیه می‌شود که به یک نسخه‌ی وصله‌شده به‌روزرسانی کنند.

منبع

پست‌های مشابه

Leave a Comment

ده + 20 =