漏洞情报 | SaltStack多个高危漏洞风险通告

2021年2月26日，SaltStack发布安全更新，修复了由腾讯安全云鼎实验室安全攻防团队发现的多个安全漏洞。通过利用这些漏洞，最严重可导致未授权远程代码执行。

漏洞详情

SaltStack是基于Python开发的一套C/S自动化运维工具，支持运维管理数万台服务器，主要功能是管理配置文件和远程执行命令，十分强大且易用。本次披露的漏洞主要为以下几个： CVE-2021-25281（高危）: salt-api未校验wheel_async客户端的eauth凭据，受此漏洞影响攻击者可远程调用master上任意wheel模块。 CVE-2021-25282: salt.wheel.pillar_roots.write方法存在目录穿越漏洞。 CVE-2021-25283（高危）: 内置Jinja渲染引擎存在SSTI（Server Side Template Injection，服务端模板注入）漏洞。 CVE-2021-25284: webutils将明文密码写入/var/log/salt/minion。Salt的默认配置中不存在此问题。 CVE-2021-3197: Salt-API的SSH客户端容易受到Shell注入的攻击，方法是在参数中包含ProxyCommand或通过API请求中提供的ssh_options。 CVE-2021-3148: salt.utils.thin.gen_thin（）中存在命令注入。通过SaltAPI，从格式化的字符串构造命令，如果extra_mods中有单引号，则可以将命令截断，因为json.dumps（）会转义双引号，同时保持单引号不变。 CVE-2020-35662: 默认情况下，Salt存在不验证SSL证书的几个地方。 CVE-2021-3144: eauth令牌在过期后仍可以使用一次 CVE-2020-28972: 缺少对SSL证书的验证，代码库无法验证服务器的SSL/TLS证书，这可能使攻击者可以通过中间人攻击获取敏感信息 CVE-2020-28243: Minion中的本地特权升级，当无特权的用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时，SaltStack的Minion可以进行特权升级。

风险等级

高风险

影响版本

Saltstack 3002.2之前的所有版本

安全版本

SaltStack >= 3002.5 SaltStack >= 3001.6 SaltStack >= 3000.8

漏洞证明

检查方式

1、检查是否开启salt-api

2、检查所使用的版本是否在受影响版本

修复建议

1、将SaltStack升级到3002.5, 3001.6 和 3000.8及以上的安全版本，或升级到Saltstack的最新官方补丁，官方下载地址：https://repo.saltstack.com

2、如果没有用到wheel_async模块，可以在 salt/netapi/__init__.py 中将其api调用入口wheel_async函数删除，可临时缓解该漏洞。

3、其他临时缓解措施也可参照官方通告中的详细方案

腾讯云安全解决方案

1、设置安全组，禁止Salt Master监听端口（默认4505 和 4506）和Salt-api端口（默认8000）对公网开放或只允许可信IP访问。

2、使用安全产品进行防护与检测

腾讯T-Sec主机安全（云镜）漏洞库日期2021-1-22之后的版本，已支持SaltStack多个高危漏洞进行检测。
腾讯T-Sec漏洞扫描服务漏洞特征库日期2021-1-22之后的版本，已支持检测全网资产是否存在SaltStack多个高危漏洞并提醒用户修复。
腾讯T-Sec云防火墙规则库日期2021-1-22之后的版本，已支持对SaltStack多个高危漏洞的检测和拦截。腾讯云防火墙内置的入侵防御功能，使用虚拟补丁机制防御最新的漏洞利用。
腾讯T-Sec高级威胁检测系统（御界）规则库日期2021-1-22之后的版本，已支持对SaltStack多个高危漏洞的攻击检测。
腾讯T-Sec Web应用防火墙已支持对SaltStack多个高危漏洞的防护。

时间轴

2020/11/18 云鼎实验室安全研究员@1mperio发现该漏洞并报送给SaltStack官方。

2020/12/01 SaltStack官方确认该问题。

2021/01/30 SaltStack官方分配CVE-2021-25281、CVE-2021-25282、CVE-2021-25283。

2021/02/26 SaltStack发布修复补丁。

漏洞参考

官方公告： https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/