SaltStack цифровые системы автоматизации инфраструктуры, в настоящее время находятся под атакой с двух критическим уязвимостям, которые позволяют удаленное выполнение кода с привилегиями суперпользователя суперпользователя эксплуатируются.

Недостатки были обнаружены финскими безопасности поставщика Ф-обеспечить в начале прошлого месяца, и влияют на SaltStack соль мастер, который отправляет обновления для соли миньоны, управляющие сервера, часто большое количество из них.

Удаленные злоумышленники могут эксплуатировать уязвимость CVE-2020-11651 недостаток в обращения к соли мастерами с root-привилегиями, Ф-защищенное сказал.

Уязвимость обхода каталога (ПНЭ-2020-11652) позволяет злоумышленникам избежать ограничений, путь и читать файлы нужную директорию.

Ф-защищенное заявил, что уязвимости, которые оцениваются как самый высокий 10.0 тяжести, и добавил, что они надежны и просты в эксплуатации.

Соль открытого основная команда разработчиков подтвердила уязвимость в Солт-мастер версия 3000.1 и раньше, и выпустили исправленные версии 3000.2 и 2019.2.4.

Хотя SaltStack предупреждает пользователей, чтобы не подвергать соль Master в интернет, Ф-защищенное исследователь Олле Segerdahl нашли 6000 уязвимых систем открытого доступа, которые он сказал очень популярны в облаках, таких как Amazon Web-сервисов и Google вычислительные платформы.

Segerdahl предупредил клиентов в прошлую пятницу, чтобы залатать уязвимости соли или лицо эксплуатируются.

В минувшие выходные, несколько организаций, таких как LineageOS Андроид распределения, призрак блог-платформы, и компания DigiCert собственной инфраструктурой управления ключами компании были скомпрометированы с помощью соли уязвимостям.

Хотя удаленный доступ с правами root могут быть использованы для эксфильтрации данных, таких как цифровые ключи хранятся DigiCert и развертывание вымогателей, они, кажется, до сих пор только установлен крипто валюты интеллектуального программного обеспечения.

В случае призрака, крипто Шахтер перегруженных серверов организации, что приведет к сбою.

Патч

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here