Angriffe auf Salt, LineageOS, Ghost und Digicert

Sicherheitsforscher des finnischen Security-Spezialisten F-Secure haben Schwachstellen in der Management-Plattform Salt von Saltstack aufgedeckt. Mittlerweile hat Salt einen Patch entwickelt, der die Sicherheitslücken behebt. Wie immer in solchen Fällen sollten Administratoren den neuen Patch unverzüglich installieren, um vor Angriffen gefeit zu sein.

Die Schwachstellen sind in SaltStack Salt Versionen vor 2019.2.4 und 3000.2 vorhanden. Server, auf denen Salt läuft, verfügen über einen „Minion“-API-Agenten, der eine Verbindung zu einer „Master“-Installation der Software herstellt. Berichte über den Zustand von Minion-Servern werden an den Master-Knoten gesendet, der seinerseits in der Lage ist, Aktualisierungsnachrichten wie Konfigurationsänderungen zu veröffentlichen, die auf alle von ihm verwalteten Server ausgerollt werden können. Das verwendete Kommunikationsprotokoll ist ZeroMQ, von dem zwei Instanzen – die „Request“- und „Publish“-Server – exponiert sind.

Der erste Fehler CVE-2020-11651 erlaubt es die  Authentisierung zu umgehen, während der zweite Fehler CVE-2020-11652 eine Sicherheitslücke bei der Verzeichnisdurchquerung ist. CVE-2020-11651 wurde durch die ClearFuncs-Klasse verursacht, die die _send_pub()- und _prep_auth_info()-Methoden offenlegt. Nachrichten können verwendet werden, um Minions zur Ausführung beliebiger Befehle zu veranlassen und der Root-Schlüssel kann auch abgerufen werden, um administrative Befehle auf dem Master-Server aufzurufen. CVE-2020-11652 bezieht sich auf das Salt Wheel-Modul, das Befehle für Lese-/Schreibfunktionen unter bestimmten Verzeichnispfaden enthält.

Zusammen erlaubten beide Fehler den Angreifern, sich mit Request-Server-Ports zu verbinden, um Authentifizierungsprüfungen zu umgehen und beliebige Nachrichten zu veröffentlichen sowie auf das vollständige Dateisystem eines Master-Servers zuzugreifen, den Schlüssel zu stehlen, der zur Authentifizierung gegenüber Master-Servern als Root verwendet wird, und Code nicht nur auf dem Master-System, sondern auf allen mit dem Framework verbundenen Minions ferngesteuert auszuführen. F-Secure fand über 6.000 Fälle von potenziell anfälligen Systemen.

Bei der zweiten größeren Schwachstelle geht es um das Handy-Betriebssystem LineageOS, eine Android-Variante. Die Angreifer nutzten dabei die Probleme im Salt Stack aus. Die Experten von Lineage reagieren schnell auf die Sicherheitslücke und stellten binnen drei Stunden einen Patch bereit.

Ebenfalls ein Kollateralschaden der Salt-Lücke ist die Blogger-Plattform Ghost, eine Alternative zu WordPress. Hacker übernahmen den Salt Master Server und Ghost wurde mit einem Crypto-Miner infiziert. Am 4. Mai gelang es dem Team von Ghost, den Crypto-Miner zu entfernen und die Sicherheitslücke zu schließen.

Auch die Zertifizierungsplattform Digicert wurde von Salt in Mitleidenschaft gezogen. Die Keys des CT Log 2 sind für alle Daten ab dem 2. Mai nicht mehr vertrauenswürdig. Das Unternehmen arbeitet noch an einer Lösung.

Alle Anwender von Salt sollten unverzüglich ihre Systeme überprüfen, ob auch sie angegriffen worden sind.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

6 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

7 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

7 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

8 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

10 Stunden ago