漏洞一披露就被利用，LineageOS、Ghost 服务器遭黑客入侵

4月30日，安全公司 F-Secure 的研究人员披露了SaltStack两个高危漏洞CVE-2020-11651 和 CVE-2020-11652。而黑客行动迅速，很快就利用该漏洞对 LineageOS、Ghost 和DigiCert 的服务器发起了攻击。

LineageOS 是一个非常受欢迎的 Android 分支，基本是 CyanogenMod 的复刻。5月3日，LineageOS官方Twitter账号发布消息称服务器受到攻击，索性在攻击者执行破坏前就已经被发现，源代码以及相关构建未受影响。

同样是5月3日，开源博客平台Ghost透露有攻击者通过SaltStack漏洞访问其基础设施，Ghost(Pro)网站和Ghost.org计费服务都受到了影响，目前也并没有证据表明又客户信息、密码或者其他数据泄露。除此之外，攻击者还是图利用其服务器运行挖矿恶意软件，导致CPU持续高负载，大多数系统出现超载的情况。

Ghost 很快进行应急处理，率先恢复了站点的正常访问，并持续监控所有系统，在5月4日已全部清除挖矿恶意软件的影响，所有系统重新恢复稳定。

受SaltStack漏洞影响的还有证书颁发机构DigiCert，导致CT Log 2用于签署ST的密钥被泄露，其他DigiCert CT日志在单独的基础架构上运行时均不受影响，安全起见，DigiCert已经将日志拉入只读模式。

关于SaltStack漏洞

SaltStack 是一种基于 C/S 架构的服务器基础架构集中化管理平台，具备配置管理、远程执行、监控等功能，通过部署 SaltStack 环境，运维人员可以在成千上万台服务器上做到批量执行命令。

漏洞信息

F-Secure 披露的两个漏洞 CVE-2020-11651 和 CVE-2020-11652，CVSS 评分 10/10。在4月29日，SaltStack已经发布新版本修复了漏洞。

CVE-2020-11651：攻击者利用该漏洞构造恶意请求，可以绕过正常的Salt Master验证逻辑，调用相关未授权函数的功能，从而实现远程命令执行。 CVE-2020-11652：攻击者利用该漏洞构造恶意请求，可以获取服务器目录结构，读取任意文件。

影响范围

SaltStack < 2019.2.4 SaltStack < 3000.2

修复方案

1.升级至最新安全版本，升级前注意进行快照备份。 2.设置Salt Master的默认监听端口（4505 和 4506）禁止对公网开放，或仅对可信IP开放。

参考链接

https://labs.f-secure.com/advisories/saltstack-authorization-bypass

https://www.securityweek.com/recent-salt-vulnerabilities-exploited-hack-lineageos-ghost-digicert-servers

*本文作者：百里不守约，转载请注明来自FreeBuf.COM