SaltStack是基于Python开发的一套C/S架构配置管理工具。

近日SaltStack官方发布安全更新，修复了包括 CVE-2021-25281 远程命令执行漏洞在内的多个漏洞。攻击者通过构造恶意请求，通过利用这些漏洞，最严重可导致未授权远程代码执行。

CVE-2021-25281（高危）:该漏洞源于salt-api未校验wheel_async客户端的eauth凭据，攻击者可远程调用master上任意wheel模块。

CVE-2021-25282:该漏洞源于salt.wheel.pillar_roots.write方法存在目录穿越漏洞。

CVE-2021-25283（高危）:该漏洞源于内置Jinja渲染引擎存在SSTI（Server Side Template Injection，服务端模板注入）漏洞。

CVE-2021-25284:该漏洞源于webutils将明文密码写入/var/log/salt/minion。Salt的默认配置中不存在此问题。

CVE-2021-3197:该漏洞源于Salt-API的SSH客户端容易受到Shell注入的攻击，方法是在参数中包含ProxyCommand或通过API请求中提供的ssh_options。

CVE-2021-3148:该漏洞源于salt.utils.thin.gen_thin（）中存在命令注入。通过SaltAPI，从格式化的字符串构造命令，如果extra_mods中有单引号，则可以将命令截断，因为json.dumps（）会转义双引号，同时保持单引号不变。

CVE-2020-35662:该漏洞源于默认情况下，Salt存在不验证SSL证书的几个地方。

CVE-2021-3144:该漏洞源于eauth令牌在过期后仍可以使用一次

CVE-2020-28972:该漏洞源于缺少对SSL证书的验证，代码库无法验证服务器的SSL/TLS证书，这可能使攻击者可以通过中间人攻击获取敏感信息

CVE-2020-28243:该漏洞源于Minion中的本地特权升级，当无特权的用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时，SaltStack的Minion可以进行特权升级。

CVE编号

CVE-2021-25281
CVE-2021-25282
CVE-2021-25283
CVE-2021-25284
CVE-2021-3197
CVE-2021-3148
CVE-2020-35662
CVE-2021-3144
CVE-2020-28972
CVE-2020-28243

影响范围

• SaltStack < 3002.2

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="SALTSTACK-产品"）共有 126 个相关服务对外开放。美国使用数量最多，共有 102 个；加拿大第二，共有 10 个；爱尔兰第三，共有 3 个；德国第四，共有 2 个；英国第五，共有 2 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

修复方案

1. 将SaltStack升级到3002.5, 3001.6 和 3000.8及以上的安全版本，或升级到Saltstack的最新官方补丁，官方下载地址：https://repo.saltstack.com
2. 设置SaltStack为自动更新，及时获取相应补丁。
3. 如果没有用到wheel_async模块，可以在 salt/netapi/init.py 中将其api调用入口wheel_async函数删除，可临时缓解该漏洞。

参考

[1] https://repo.saltstack.com

[2] https://mp.weixin.qq.com/s/wxhTQ-Bt807r7qobXFNqKA

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。