Vulnerabilidades en SaltStack están activamente siendo explotadas por ciberdelincuentes


Salt también llamado Saltstack, es un Framework basado en Python de código abierto, para la automatización de tecnologías de la información mediante eventos, ejecución remota de tareas y gestión de configuración, es usualmente utilizado en servidores en datacenters y entornos en la nube.

La composición de SaltStack consiste en un servidor maestro (Master) que monitorea la ejecución de un agente de una interfaz de programación de aplicaciones (API) y publica mensajes de actualización con instrucciones/comandos para los servidores esbirros (Minions), que envían reportes de su estado al servidor maestro. Donde la comunicación entre el servidor maestro y los esbirros está cifrada para asegurarla.

Comunicación de Salt

Son dos vulnerabilidades que fueron descubiertas por un grupo de investigadores, donde la falla (CVE-2020-11651) es un error de omisión de la autenticación y la otra (CVE-2020-11652) es por un error transversal del directorio, destacando que puede ser explotada por un atacante remoto sin autenticación.

De acuerdo a la investigación, las vulnerabilidades permiten a los atacantes conectarse al puerto (4506) de peticiones para saltar todos los controles de autenticación y autorización, con el fin de enviar mensajes de control arbitrario, leer y escribir archivos en cualquier parte del sistema de archivos del servidor maestro, como también robar la clave secreta utilizada para autenticarse en el maestro como root. Logrando la ejecución remota con privilegios de raíz (root) en el servidor maestro, como en todos los servidores esbirros que se conectan a él.
Los expertos no dieron muchos detalles sobre las vulnerabilidades, ni decidieron publicar una prueba de concepto (PoC), por motivo que existen más de 6.000 servidores maestros de Salt expuestos a Internet. También advirtieron que es posible que estos problemas serían detectados en poco tiempo por los ciberdelincuentes en menos de 24 hora, demostrando que estaban en lo cierto, porque a los pocos días, un investigador reportó que su “honeypots” (Servidor anzuelo) había sido objetivo del ataque.
Aún falta la peor parte de la historia, la cual es que durante el fin de semana, los atacantes lograron explotar las fallas, obteniendo el acceso a las infraestructuras de LineageOS project (Sistema operativo alternativo Android), la plataforma de Ghost blogging (Simplificador de publicaciones de blogs) y una de las plataformas operada por DigiCert para los registros de certificado de transparencia (CT2). En los tres casos, tenían como objetivo instalar mineros de criptomonedas.
Las vulnerabilidades afectan a todas las versiones inferiores a 2019.2.4 y 3000.2, que fueron lanzadas hace pocas semanas. Se recomienda a los usuarios de SaltStack, la actualización inmediata. Podrán encontrar el parche de seguridad para las versiones afectadas en su página de soporte oficial.



Fuente:

COMENTARIOS

Nombre

Actualizaciones,4,Adobe,1,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apple,16,Apps,12,Arkavia Networks,13,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,4,Bluetooth,1,Botnet,4,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,2,Ciberataque,4,Cibercrimen,131,Ciberdelincuencia,4,ciberseguridad,112,Cisco,1,Citrix,3,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,5,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,2,Data Leak,9,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,Ecommerce,2,Emotet,1,Empresas,113,enrutadores,1,Estadisticas,1,Eventos,5,Exchange,2,exploit,5,Exploits,11,Extensiones,1,Extensions,1,F5 Networks,1,Facebook,8,Firewall,1,Firmware,2,Framework,1,Gmail,1,GoDaddy,1,google,31,Hacking,83,Hardware,7,Hosting,3,IBM,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Linux,7,Malware,37,Malwares,32,MFA,1,Microsoft,32,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,14,Plugins,1,Protocolos,12,Python,1,Ransomware,14,RAT,1,RCE,1,RDP,1,Recomendaciones,15,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rootkit,1,Routers,2,RRSS,2,Salt,1,Salud,2,Servicios,5,Smartphones,29,SMB,3,Software,23,Sophos,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,4,updates,22,Videoconferencia,1,VPN,3,Vulnerabilidad,19,Vulnerabilidades,71,Web,6,WhatsApp,4,wifi,5,Windows,12,Wordpress,4,XG,1,zeroday,2,Zoom,2,
ltr
item
Arkavia Networks News: Vulnerabilidades en SaltStack están activamente siendo explotadas por ciberdelincuentes
Vulnerabilidades en SaltStack están activamente siendo explotadas por ciberdelincuentes
https://1.bp.blogspot.com/-wqv3rJB7qdc/XrBo0k-JvhI/AAAAAAAAB98/zbPZcgVGgOkqIAOp8pSe0iVGuJ-PjCh7gCLcBGAsYHQ/s640/Vulnerabilidades%2BSaltstack.jpg
https://1.bp.blogspot.com/-wqv3rJB7qdc/XrBo0k-JvhI/AAAAAAAAB98/zbPZcgVGgOkqIAOp8pSe0iVGuJ-PjCh7gCLcBGAsYHQ/s72-c/Vulnerabilidades%2BSaltstack.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/05/vulnerabilidades-en-saltstack-estan.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/05/vulnerabilidades-en-saltstack-estan.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy