L'ANALISI TECNICA

Vulnerabilità sulla piattaforma SaltStack, migliaia di data center a rischio attacco: i dettagli

Due gravi vulnerabilità identificate nella piattaforma SaltStack Salt potrebbero consentire ai criminal hacker di prendere il controllo completo dei server usati in data center e servizi cloud, come già accaduto a LineageOS, Ghost e DigiCert. Ecco tutti i dettagli tecnici e i consigli per mitigare il rischio

04 Mag 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Sono state scoperte due gravi vulnerabilità in Salt, il popolare framework open source sviluppato da SaltStack e utilizzato soprattutto in ambienti Enterprise, Cloud e provider di servizi come strumento di provisioning e configurazione per gestire i server nei data center e nelle reti aziendali.

Entrambe le vulnerabilità in SaltStack Salt risultano essere attivamente sfruttate in attacchi reali.

Un attaccante remoto in grado di sfruttarle positivamente potrebbe connettersi al server eludendo completamente le procedure di autenticazione e, tramite letture e scritture arbitrarie di file, prendere il completo controllo del nodo centrale dell’infrastruttura IT e quindi di tutto il parco macchine.

Le due vulnerabilità, identificate come CVE-2020-11651 (un bypass di autenticazione utilizzato per recuperare i token utente) e CVE-2020-11652 (che consente l’accesso arbitrario alla directory agli utenti autenticati), sono state scoperte dai ricercatori F-Secure e classificate con indice di gravità massima pari a 10.0 secondo il sistema di valutazione delle vulnerabilità comuni (CVSS).

Vulnerabilità in SaltStack Salt: i dettagli tecnici

Per comprendere come funziona l’exploiting delle due vulnerabilità è utile descrivere brevemente la struttura del framework di SaltStack.

Salt viene utilizzato per monitorare e aggiornare lo stato dei server. Ogni server esegue un agent chiamato “minion” che si collega a un “master”, un’installazione Salt che raccoglie i rapporti sullo stato dei minion e pubblica messaggi di aggiornamento su cui i minion stessi possono agire.

Tipicamente, tali messaggi sono aggiornamenti alla configurazione dei server, ma possono essere usati anche per eseguire uno stesso comando in parallelo su più sistemi gestiti, anche tutti, in modo asincrono.

Il protocollo di comunicazione predefinito in sale è ZeroMQ. Il master espone due istanze ZeroMQ tramite le porte TCP/4505 e TCP/4506: una chiamata “request server” alla quale i minion possono connettersi per segnalare il loro stato (o l’output dei comandi) e una chiamata “publish server” utilizzata dal master per pubblicare i messaggi di connessione dei minion.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Secondo i ricercatori, però, a causa di errate configurazioni di sicurezza il servizio può risultare accessibile attraverso le due porte di comunicazione TCP anche da Internet. Attualmente risultano più di 6.000 i server Salt lasciati esposti online che potrebbero essere sfruttati.

In questi casi, le vulnerabilità in SaltStack Salt potrebbero consentire agli aggressori di connettersi alla porta “request server” e bypassare tutti i controlli di autenticazione e autorizzazione per pubblicare messaggi di controllo arbitrari, leggere e scrivere file in qualsiasi punto del file system del master e rubare la chiave segreta utilizzata per l’autenticazione come root al master stesso.

In questo modo gli aggressori riescono ad eseguire comandi remoti con privilegi elevati sia sul master che su tutti i minion che si collegano ad esso.

Le evidenze riscontrate dai ricercatori F-Secure hanno dimostrato che, sfruttando le vulnerabilità in SaltStack Salt, gli attaccanti sono riusciti ad installare una backdoor sui server compromessi oppure a distribuire miner di criptovaluta.

Violazioni sui server di LineageOS, Ghost e DigiCert

Come dicevamo, le due vulnerabilità in SaltStack Salt risultano essere state attivamente sfruttate in questi giorni dai criminal hacker per violare i server di LineageOS (produttore dell’omonimo sistema operativo open source basato su Android), Ghost (piattaforma di blogging basata su Node.js) e dell’autorità di certificazione DigiCert.

In particolare, LineageOS ha dichiarato di aver rilevato l’intrusione il 2 maggio alle 20:00 circa, ora del Pacifico, specificando comunque che le build Android e le relative signing keys non sono state compromesse in seguito all’attacco.

Il 3 maggio è stata invece la volta di Ghost. In questo caso, lo sfruttamento delle vulnerabilità in SaltStack Salt ha consentito ad un attaccante remoto di compromettere un master Salt e installare un miner di criptovalute. Il tentativo di mining ha ovviamente causato un picco di CPU che ha rapidamente sovraccaricato la maggior parte dei sistemi. Ghost ha comunque confermato che non si sono prove di una compromissione dei dati dei clienti, delle password e delle informazioni finanziarie.

Domenica 3 maggio, seppur con modalità differenti, è stato violato anche un server dell’autorità di certificazione DigiCert che ha causato la compromissione di una chiave CT Log 2 usata per firmare i timestamp dei certificati digitali.

Anche se la chiave non sembra essere stata effettivamente sfruttata dai criminal hacker, l’autorità ha ovviamente segnalato come inattendibili i certificati rilasciati successivamente alla violazione subita.

Come mitigare i rischi di un attacco

Dopo la segnalazione delle due vulnerabilità da parte dei ricercatori F-Secure, SaltStack ha confermato la problematica rilasciando le versioni aggiornate del suo framework 3000.2 e 2019.2.4 in grado di risolverla.

Considerando la criticità delle infrastrutture afflitte dalle vulnerabilità in SaltStack Salt, la loro possibile esposizione su Internet e la conferma delle operazioni di attacco e intrusione ai danni di LineageOS, Ghost E DigiCert, è ovviamente opportuno installare con urgenza le patch disponibili per mettere in sicurezza la piattaforma.

Un fattore d’urgenza segnalato anche da Marco Ramilli, Founder & CEO di Yoroi: “È molto importante intervenire rapidamente su due fronti:

  • patching dei Salt masters;
  • hunting di possibili compromissioni.

In altre parole, il solo patching non è sufficiente, in quanto un attaccante avrebbe potuto impiantare all’interno del parco macchine una o più backdoor, quindi è necessario da parte delle aziende utilizzatrici di SaltStack effettuare operazioni di analisi proattive per comprendere se il perimetro gestito da Salt sia stato compromesso. Non dimentichiamoci che, trattandosi di vulnerabilità esposte in rete, motori di ricerca IoT come Censys, Shodan e Zokmeye permettono all’attaccante di identificare host vulnerabili in modo molto veloce”.

FORUM PA 6- 11 luglio
Innovazione e trasformazione digitale per la resilienza. Scopri il nuovo FORUM PA digitale
CIO
Dematerializzazione

Infine, è opportuno limitare mediante firewall o altre soluzioni di sicurezza l’esposizione su Internet di eventuali servizi che utilizzano la tecnologia SaltStack.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3