SaltStack exploité pour compromettre des serveurs Cisco

Des pirates informatiques ont compromis 6 serveurs Cisco VIRL-PE qui sont affectés par des vulnérabilités critiques de SaltStack.

Cisco a déclaré que des pirates ont pu compromettre leurs serveurs après avoir exploité deux vulnérabilités connues et critiques de SaltStack. Les failles existent dans le framework de gestion open source Salt, qui est utilisé dans les produits d’outils de réseau Cisco.

Deux produits Cisco intègrent une version de SaltStack qui exécute le service Salt-Master qui est vulnérable. Le premier est Cisco Modeling Labs Corporate Edition (CML), qui offre aux utilisateurs un environnement de sandbox virtuel pour créer et configurer des topologies de réseau. Le second est Cisco Personal Internet Routing Lab Personal Edition (VIRL-PE), il est utilisé pour créer, configurer et faire fonctionner des réseaux à l’aide des systèmes d’exploitation réseau de Cisco.

Les pirates ont réussi à exploiter avec succès les failles incorporées dans ce dernier produit, entraînant la compromission de 6 serveurs backend VIRL-PE, selon Cisco. Ces serveurs sont: us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm-us-1.virl.info et vsm-us- 2.virl.info.

«L’infrastructure Cisco maintient les serveurs Salt Master utilisés avec Cisco VIRL-PE», selon l’alerte de Cisco. “Ces serveurs ont été mis à niveau le 7 mai 2020. Cisco a identifié que les serveurs maîtres de maintenance de Cisco qui desservaient les versions 1.2 et 1.3 de Cisco VIRL-PE étaient compromis.”

salt saltstack

Cisco a déclaré que les serveurs avaient été patchés le 7 mai. La société a également distribué des mises à jour logicielles pour les deux produits vulnérables. Cisco a déclaré que la mise à jour est «critique», lui donnant une note de 10 sur 10 sur l’échelle CVSS.

Les failles de SaltStack connues depuis plusieurs semaines

Les failles de SaltStack ont ​​été rendus publics pour la première fois par l’équipe de Salt Open Core le 29 avril. Les failles peuvent permettre l’exécution complète de code à distance en tant que root sur les serveurs des centres de données et des environnements cloud. Ils incluent un problème de contournement d’authentification, identifié comme CVE-2020-11651, et une faille de traversée de répertoire, CVE-2020-11652, où les entrées non fiables (c’est-à-dire les paramètres dans les requêtes réseau) ne sont pas correctement assainies. Les chercheurs ont découvert que cela permet à son tour d’accéder à l’ensemble du système de fichiers du serveur maître.

SaltStack a distribué des correctifs pour la faille dans la version 3000.2, le 30 avril – cependant, les chercheurs de F-Secure, qui ont découvert la faille, ont déclaré qu’une analyse préliminaire a révélé plus de 6000 instances de Salt potentiellement vulnérables exposées au public sur Internet – et a averti que les exploits sont imminents.

Ces prédictions se sont avérées vraies: au début du mois de Mai, par exemple, des pirates ont ciblé la plate-forme de publication Ghost en exploitant des vulnérabilités critiques de SaltStack, utilisées dans l’infrastructure de gestion de serveurs de Ghost pour lancer une attaque de cryptojacking contre ses serveurs, ce qui a entraîné des pannes généralisées.

saltstack

Cisco a déclaré que pour Cisco CML et Cisco VIRL-PE (versions logicielles 1.5 et 1.6) si le service salt-master est activé “l’exploitabilité du produit dépend de la façon dont le produit a été déployé”. Une liste complète de l’impact et de l’action recommandée pour chaque option de déploiement, pour chaque version du logiciel Cisco, peut être trouvée sur l’alerte de Cisco.

Pour être exploité, le service salt-master doit être accessible sur les ports TCP 4505 et 4506, a déclaré Cisco. La société a ajouté que les administrateurs peuvent vérifier la configuration de leur serveur Cisco Salt-Master en accédant à Serveur VIRL> Configuration et état de Salt.

«Cisco continue de recommander fortement aux clients de passer à une version logicielle patchée pour corriger ces vulnérabilités», a déclaré Cisco.

Si cet article vous a plu, jetez un œil à notre article précédent.