0
0
Os pesquisadores identificaram uma técnica de injeção de modelo contra a plataforma de configuração e orquestração de TI SaltStack de código aberto, bem como problemas comuns de configuração incorreta, que podem permitir que os invasores ganhem a rede da organização.
Salt é um software de código aberto para automatizar funções de rede e segurança com base em eventos e configurações específicas, semelhante ao Puppet ou Ansible. Escrito em Python, é amplamente utilizado na administração e segurança de redes. No entanto, erros de configuração comuns e problemas de segurança no SaltStack, uma implementação do Salt, permitiriam que um invasor executasse código remoto, alcançasse presença e controle sobre uma rede de gerenciamento e se infiltrasse em outros sistemas conectados ao sistema inicialmente comprometido, Alex Hill, um ataque ofensivo especialista em segurança da empresa boutique de segurança cibernética Skylight Cyber, escreveu em um post de blog.A equipe de pesquisa identificou uma série de três configurações de gerenciamento simples e um método de “injeção de bônus” que permitiu a execução de comandos no ambiente de destino para executar código arbitrário e até mesmo girar para os ambientes do cliente.
“As implementações do Salt mal configuradas são um alvo de alto valor que, se comprometido, provavelmente levará rapidamente a um nível de comprometimento de rede muito mais amplo e pior, e deve ser fortalecido proporcionalmente”, disse Hill a Dark Reading.
Injeção de modelo para acesso do cliente
Em sua essência, o Salt fornece gerenciamento de infraestrutura automatizado com foco na aplicação e manutenção do estado nos dispositivos; se um dispositivo na rede tiver um estado ativo desalinhado com o estado configurado, a plataforma tenta reaplicar as definições de configuração definidas anteriormente. Isso pode significar scripts personalizados para enviar arquivos de configuração atualizados para acionar um pipeline de construção para trazer novos contêineres, escreveu Hill.
O Salt também gerencia dispositivos por meio de agentes de software – conhecidos como “lacaios” – que se reportam a dispositivos controladores-mestres centralizados.
Os pesquisadores descobriram uma vulnerabilidade de injeção de modelo Jinja no Salt que – embora não seja nova por si só – é nova em termos de seu potencial de exploração no espaço de gerenciamento de TI, disse Hill a Dark Reading. A falha pode resultar na execução de comandos que permitem aos invasores executar códigos arbitrários não apenas no dispositivo mestre e seus subordinados, mas também nos ambientes do cliente. A equipe foi capaz de enganar o salt-master para emitir instruções para outro lacaio vítima executando como root, basicamente permitindo que eles fizessem o que quisessem e abrindo a porta para uma série de atividades nefastas por um invasor em potencial.
Erros de configuração do Common Salt
Hill identificou três “configurações incorretas simples” que podem facilmente derrubar um ambiente: inscrição automática de lacaios, segredos armazenados em arquivos e exposição dos arquivos secretos do sistema de pilares.
O Salt possui um recurso de registro automático para automatizar e simplificar o provisionamento da nova infraestrutura do cliente – como laptops de engenheiros ou servidores para novos sites – mas também pode permitir a entrada de dispositivos não autorizados na rede, diz Hill. Um invasor pode ativar um sistema, instalar um minion e registrar automaticamente o sistema no controlador mestre – nesse ponto, o invasor pode emitir comandos integrados, ler arquivos locais e até mesmo explorar o método de injeção de modelo.
Os segredos são expostos com o Salt porque a estrutura espera que os minions sejam capazes de extrair todos os arquivos necessários dos diretórios file_roots ao tentar redefinir o estado do dispositivo. Todos os segredos, incluindo senhas para o dispositivo mestre, são expostos porque estão em texto não criptografado no salt-master em web_user.sls.
Um invasor que controla um lacaio no ambiente também pode acessar a senha e, assim, comprometer todo o sistema, disseram os pesquisadores do Skylight.
Da mesma forma, ter o diretório do pilar dentro de um diretório acessível significa que todos os lacaios – mesmo aqueles que não foram legitimamente inscritos pelo administrador – podem ver o conteúdo do diretório de segredos do Salt.
Como proteger o sal
Hill incluiu na postagem do blog o que ele chama de “folha de dicas” para organizações ao implantar o Salt para garantir que não sejam vítimas de erros comuns de configuração incorreta ou criem um ambiente que permita aos invasores explorar a vulnerabilidade de injeção de modelo Jinja.
“As empresas que usam o SaltStack internamente devem observar como sua implementação está configurada e se eles têm algum dos problemas destacados atualmente”, diz ele.
Em geral, as organizações devem adotar uma atitude de segurança de “não confiar em ninguém” – neste caso, o “ninguém” significa “sem lacaios”.
“Assuma que todos os lacaios são desonestos”, bem como “comprometidos e não confiáveis”, aconselhou Hill em seu post.
FONTE: DARK READING