【漏洞预警】SaltStack远程命令执行(CVE-2020-11651、CVE-2020-11652) 植入挖矿木马的应急响应 salt-minions salt-store挖矿程序跑满cpu

前言：

 

2020年5月3日，阿里云应急响应中心监测到近日国外某安全团队披露了SaltStack存在认证绕过致命令执行漏洞以及目录遍历漏洞。在多个微信群和QQ群已经有群友反映中招，请马上修复。

 

以下为通知详情：

1.漏洞描述

 

SaltStack是基于Python开发的一套C/S架构配置管理工具。国外某安全团队披露了SaltStack存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。在CVE-2020-11651认证绕过漏洞中，攻击者通过构造恶意请求，可以绕过Salt Master的验证逻辑，调用相关未授权函数功能，从而可以造成远程命令执行漏洞。在CVE-2020-11652目录遍历漏洞中，攻击者通过构造恶意请求，读取服务器上任意文件。阿里云应急响应中心提醒SaltStack用户尽快采取安全措施阻止漏洞攻击。

 

2.影响版本

SaltStack < 2019.2.4

SaltStack < 3000.2

 

3.安全版本

2019.2.4（注：补丁版本）

3000.2

 

4.清理方案

当您发现服务器已经遭受攻击，可登录服务器使用阿里云安全团队提供的清除工具进行一键清除。

curl https://xzfile.aliyuncs.com/aliyun/salt_miner_clean.sh | /bin/bash

md5sum /proc/*/exe 2>/dev/null | grep 'a28ded80d7ab5c69d6ccde4602eef861' |awk '{print $2}' |cut -d / -f3 | xargs kill -9 2>/dev/null
md5sum /proc/*/exe 2>/dev/null | grep '8ec3385e20d6d9a88bc95831783beaeb' |awk '{print $2}' |cut -d / -f3 | xargs kill -9 2>/dev/null
rm -rf /tmp/salt-minions
rm -rf /tmp/salt-store

rm -rf /var/tmp/salt-store

5.修复方案

1. 升级至安全版本及其以上，升级前建议做好快照备份措施。

2. 设置SaltStack为自动更新，及时获取相应补丁。

3. 将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。安全组相关设置示例如下：

 

6.相关链接

https://labs.f-secure.com/advisories/saltstack-authorization-bypass

https://github.com/saltstack/salt/issues/57057

http://www.360doc.com/content/20/0503/10/68899713_909935218.shtml

 

---

 

手工修复

 

该漏洞早在20多天前，已经被官方修复，请及时升级，如果不方便直接升级的用户，可以参考Github的提交，进行手工打patch操作。

https://github.com/saltstack/salt/commit/ffea7ffa215313f68b42f82984b0441e1017330c