Angriffe auf Salt, LineageOS, Ghost und Digicert

Sicherheitsforscher des finnischen Security-Spezialisten F-Secure haben Schwachstellen in der Management-Plattform Salt von Saltstack aufgedeckt. Mittlerweile hat Salt einen Patch entwickelt, der die Sicherheitslücken behebt. Wie immer in solchen Fällen sollten Administratoren den neuen Patch unverzüglich installieren, um vor Angriffen gefeit zu sein.

Die Schwachstellen sind in SaltStack Salt Versionen vor 2019.2.4 und 3000.2 vorhanden. Server, auf denen Salt läuft, verfügen über einen „Minion“-API-Agenten, der eine Verbindung zu einer „Master“-Installation der Software herstellt. Berichte über den Zustand von Minion-Servern werden an den Master-Knoten gesendet, der seinerseits in der Lage ist, Aktualisierungsnachrichten wie Konfigurationsänderungen zu veröffentlichen, die auf alle von ihm verwalteten Server ausgerollt werden können. Das verwendete Kommunikationsprotokoll ist ZeroMQ, von dem zwei Instanzen – die „Request“- und „Publish“-Server – exponiert sind.

Der erste Fehler CVE-2020-11651 erlaubt es die  Authentisierung zu umgehen, während der zweite Fehler CVE-2020-11652 eine Sicherheitslücke bei der Verzeichnisdurchquerung ist. CVE-2020-11651 wurde durch die ClearFuncs-Klasse verursacht, die die _send_pub()- und _prep_auth_info()-Methoden offenlegt. Nachrichten können verwendet werden, um Minions zur Ausführung beliebiger Befehle zu veranlassen und der Root-Schlüssel kann auch abgerufen werden, um administrative Befehle auf dem Master-Server aufzurufen. CVE-2020-11652 bezieht sich auf das Salt Wheel-Modul, das Befehle für Lese-/Schreibfunktionen unter bestimmten Verzeichnispfaden enthält.

Zusammen erlaubten beide Fehler den Angreifern, sich mit Request-Server-Ports zu verbinden, um Authentifizierungsprüfungen zu umgehen und beliebige Nachrichten zu veröffentlichen sowie auf das vollständige Dateisystem eines Master-Servers zuzugreifen, den Schlüssel zu stehlen, der zur Authentifizierung gegenüber Master-Servern als Root verwendet wird, und Code nicht nur auf dem Master-System, sondern auf allen mit dem Framework verbundenen Minions ferngesteuert auszuführen. F-Secure fand über 6.000 Fälle von potenziell anfälligen Systemen.

Bei der zweiten größeren Schwachstelle geht es um das Handy-Betriebssystem LineageOS, eine Android-Variante. Die Angreifer nutzten dabei die Probleme im Salt Stack aus. Die Experten von Lineage reagieren schnell auf die Sicherheitslücke und stellten binnen drei Stunden einen Patch bereit.

Ebenfalls ein Kollateralschaden der Salt-Lücke ist die Blogger-Plattform Ghost, eine Alternative zu WordPress. Hacker übernahmen den Salt Master Server und Ghost wurde mit einem Crypto-Miner infiziert. Am 4. Mai gelang es dem Team von Ghost, den Crypto-Miner zu entfernen und die Sicherheitslücke zu schließen.

Auch die Zertifizierungsplattform Digicert wurde von Salt in Mitleidenschaft gezogen. Die Keys des CT Log 2 sind für alle Daten ab dem 2. Mai nicht mehr vertrauenswürdig. Das Unternehmen arbeitet noch an einer Lösung.

Alle Anwender von Salt sollten unverzüglich ihre Systeme überprüfen, ob auch sie angegriffen worden sind.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

Fernverschlüsselung: Check Point warnt vor neuer Taktik von Cybererpressern

Sie machen Daten im Netzwerk per Fernverschlüsselung unbrauchbar. Diese Taktik setzt unter anderem die Gruppe…

1 Stunde ago

Shokz OpenRun Pro 2: Die perfekte Kombination aus Knochenschall und Air-Conduction Technik

Die neuen OpenRun Pro 2 von Shokz sind die neueste Weiterentwicklung der beliebten offenen Sportkopfhörer.…

2 Tagen ago

UPDF: PDF-Software zu einem Viertel des Preises von Adobe

PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!

3 Tagen ago

Neuer Bedarf an Workplace Services durch DEX und KI

ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.

3 Tagen ago

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

4 Tagen ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

4 Tagen ago