Angriffe auf Salt, LineageOS, Ghost und Digicert

Sicherheitsforscher des finnischen Security-Spezialisten F-Secure haben Schwachstellen in der Management-Plattform Salt von Saltstack aufgedeckt. Mittlerweile hat Salt einen Patch entwickelt, der die Sicherheitslücken behebt. Wie immer in solchen Fällen sollten Administratoren den neuen Patch unverzüglich installieren, um vor Angriffen gefeit zu sein.

Die Schwachstellen sind in SaltStack Salt Versionen vor 2019.2.4 und 3000.2 vorhanden. Server, auf denen Salt läuft, verfügen über einen „Minion“-API-Agenten, der eine Verbindung zu einer „Master“-Installation der Software herstellt. Berichte über den Zustand von Minion-Servern werden an den Master-Knoten gesendet, der seinerseits in der Lage ist, Aktualisierungsnachrichten wie Konfigurationsänderungen zu veröffentlichen, die auf alle von ihm verwalteten Server ausgerollt werden können. Das verwendete Kommunikationsprotokoll ist ZeroMQ, von dem zwei Instanzen – die „Request“- und „Publish“-Server – exponiert sind.

Der erste Fehler CVE-2020-11651 erlaubt es die  Authentisierung zu umgehen, während der zweite Fehler CVE-2020-11652 eine Sicherheitslücke bei der Verzeichnisdurchquerung ist. CVE-2020-11651 wurde durch die ClearFuncs-Klasse verursacht, die die _send_pub()- und _prep_auth_info()-Methoden offenlegt. Nachrichten können verwendet werden, um Minions zur Ausführung beliebiger Befehle zu veranlassen und der Root-Schlüssel kann auch abgerufen werden, um administrative Befehle auf dem Master-Server aufzurufen. CVE-2020-11652 bezieht sich auf das Salt Wheel-Modul, das Befehle für Lese-/Schreibfunktionen unter bestimmten Verzeichnispfaden enthält.

Zusammen erlaubten beide Fehler den Angreifern, sich mit Request-Server-Ports zu verbinden, um Authentifizierungsprüfungen zu umgehen und beliebige Nachrichten zu veröffentlichen sowie auf das vollständige Dateisystem eines Master-Servers zuzugreifen, den Schlüssel zu stehlen, der zur Authentifizierung gegenüber Master-Servern als Root verwendet wird, und Code nicht nur auf dem Master-System, sondern auf allen mit dem Framework verbundenen Minions ferngesteuert auszuführen. F-Secure fand über 6.000 Fälle von potenziell anfälligen Systemen.

Bei der zweiten größeren Schwachstelle geht es um das Handy-Betriebssystem LineageOS, eine Android-Variante. Die Angreifer nutzten dabei die Probleme im Salt Stack aus. Die Experten von Lineage reagieren schnell auf die Sicherheitslücke und stellten binnen drei Stunden einen Patch bereit.

Ebenfalls ein Kollateralschaden der Salt-Lücke ist die Blogger-Plattform Ghost, eine Alternative zu WordPress. Hacker übernahmen den Salt Master Server und Ghost wurde mit einem Crypto-Miner infiziert. Am 4. Mai gelang es dem Team von Ghost, den Crypto-Miner zu entfernen und die Sicherheitslücke zu schließen.

Auch die Zertifizierungsplattform Digicert wurde von Salt in Mitleidenschaft gezogen. Die Keys des CT Log 2 sind für alle Daten ab dem 2. Mai nicht mehr vertrauenswürdig. Das Unternehmen arbeitet noch an einer Lösung.

Alle Anwender von Salt sollten unverzüglich ihre Systeme überprüfen, ob auch sie angegriffen worden sind.