Recientemente, la compañía de seguridad F-Secure informó de varias vulnerabilidades graves en SaltStack Salt, y que empleadas en conjunto podían permitir a los potenciales atacantes tomar el control de las infraestructuras administradas con esta herramienta. Tal es la peligrosidad de estas vulnerabilidades que la compañía de seguridad ha preferido no publicar pruebas de concepto, y, alerta de que en menos de 24 horas es esperable que aparezcan los primeros malwares destinados a explotar estos problemas.
El comunicado se emitió el pasado viernes y, tal y como vaticinaba, así ha sido, las primeras acciones in the wild aprovechando los problemas de seguridad de Salt han ocasionado un fin de semana «intenso» a algunos administradores de infraestructuras que emplean esta herramienta. En concreto, ya hemos sabido de ataques que han afectado a las infraestructuras de LineageOS (un fork de Android), Ghost (una plataforma de publicación de contenidos online) y DigiCert (compañía de seguridad y certificadora).
MS Recomienda
Hasta ahora, y en los ataques conocidos, los atacantes han optado por emplear los sistemas comprometidos para realizar minería de cibermonedas. Algo que, claro, ha sido detectado rápidamente por los administradores de los mismos, puesto que este tipo de acciones capitalizan prácticamente el 100% de los recursos de los sistemas, haciendo que no puedan atender sus funciones normales. Algo que es detectado rápidamente, y que permite que los administradores puedan ponerse rápidamente manos a la obra para resolver el problema.
Esto, por sí mismo, ya es un problema, pero me temo que lo peor está por venir. Si analizamos la cronología de lo ocurrido hasta ahora, resulta bastante evidente que, tras tener conocimiento del agujero de seguridad, los atacantes lo han identificado y, de inmediato, han comenzado a realizar un escaneo masivo en la red, en busca de plataformas administradas con Salt. Algunos de los primeros resultados son los sitios atacados que ya conocemos, aunque es probable que haya más.
Vista la rapidez con la que han actuado, da la sensación de que en estos primeros casos los atacantes no se han tomado la molestia de analizar dónde estaban y, por lo tanto, qué tipo de acciones podían llevar a cabo. El problema es que, si no han empezado ya (que es lo más probable), estamos en las puertas de que los ciberdelincuentes sí que lo hagan, y el escenario cambie para convertirse en un aluvión de ataques dirigidos, seguramente en su mayoría de ransomware, y que tengan unos efectos bastante más devastadores que los que hemos visto hasta ahora, con la minería de cibermonedas.
Y es que debemos recordar que SaltStack Salt es una herramienta que permite gestionar servidores, centros de datos e infraestructuras cloud. Sin llegar a ser un orquestador, sí que goza de un acceso privilegiado a muchos recursos que requieren de altos niveles de seguridad. Y es que veamos que afirma F-Secure en su comunicado:
«Las vulnerabilidades descritas en este aviso permiten a un atacante que puede conectarse al puerto del «servidor de solicitudes» omitir todos los controles de autenticación y autorización y publicar mensajes de control arbitrarios, leer y escribir archivos en cualquier parte del sistema de archivos del servidor «maestro» y robar la clave secreta utilizada autenticarse como root. El impacto es la ejecución completa de comandos remotos como root tanto en el maestro como en todos los que se conectan al mismo.»
Las vulnerabilidades, con los identificadores CVE-2020-11651 CVE-2020-11652, son de dos clases diferentes. Uno es la omisión de autenticación donde la funcionalidad se expuso involuntariamente a clientes de red no autenticados; el otro es el acceso al directorio donde la entrada no confiable (es decir, los parámetros en las solicitudes de red) no se depura correctamente, permitiendo un acceso sin restricciones al sistema de archivos completo del servidor maestro.»
El equipo de desarrollo de SaltStack Salt ha publicado una versión parcheada de la herramienta, la 3000.2, a la que deberían actualizarse de inmediato todas las personas que emplean este software para gestionar sus plataformas. Adicionalmente, también es más que recomendable optar por aplicar severas restricciones al acceso maestro (su tráfico se canaliza por los puertos 4505 y 4506 en la configuración por defecto). Y es que, aunque la vulnerabilidad ya ha sido parcheada, dada la rapidez con la que ha sido publicada es probable que no se haya sometido a tantos controles de seguridad como sería recomendable.
Fuente:https://www.muyseguridad.net
