Tin tức

SaltStack có lỗ hổng nghiêm trọng nhất từ trước đến nay, hàng nghìn máy chủ có thể bị ảnh hưởng nghiêm trọng

SaltStack có lỗ hổng nghiêm trọng nhất từ trước đến nay, hàng nghìn máy chủ có thể bị ảnh hưởng nghiêm trọng

Không giống các lỗ hổng trước đây, lỗ hổng lần này của SaltStack có thể tác động đến toàn bộ các máy chủ có trong hệ thống, gây ra ảnh hưởng lớn hơn gấp nhiều lần.

SaltStack là một phần mềm mã nguồn mở nổi tiếng, để quản lý cấu hình và là công cụ để điều khiển từ xa các ứng dụng trên máy chủ doanh nghiệp, với mô hình client-server. Thông qua SaltStack, một máy chủ Server ra lệnh (máy master) có thể dễ dàng điều khiển từ xa cũng như cấu hình hàng loạt máy chủ client (máy minion) bên dưới.

Nhưng mới đây, Công ty cổ phần An ninh mạng Việt Nam vừa phát đi cảnh báo về một lỗ hổng bảo mật có tên SaltStack RCE trong phần mềm mã nguồn mở này. Lỗ hổng này có thể gây ra các tác động nghiêm trọng đến toàn bộ hệ thống công nghệ của doanh nghiệp khi cho phép hacker thực hiện từ xa các mã tùy ý trên những máy chủ trong các trung tâm dữ liệu hoặc các nền tảng điện toán đám mây.

Mức độ nghiêm trọng của SaltStack RCE nằm ở chỗ, nó có thể bị khai thác để tác động đến toàn bộ các máy chủ trong hệ thống, thay vì chỉ tác động đến các máy chủ có tồn tại lỗ hổng. Điều này cho thấy mức độ tác động của nó lớn gấp nhiều lần so với các lỗ hổng trước đây.

Để khai thác thành công lỗ hổng này, hacker sẽ kết hợp với 2 lỗ hổng khác của SaltStack (lỗ hổng CVE-2020-11651 và CVE-2020-11652, vốn đã tồn tại trong các phiên bản 3000.1 trở về trước) để can thiệp vào quá trình trao đổi dữ liệu giữa máy chủ master và máy chủ minion.

Dựa trên việc khai thác với hai lỗ hổng này, hacker có thể vượt qua các lớp xác thực (dựa vào CVE-2020-11651), đồng thời kiểm soát trái phép các thư mục (dựa trên lỗ hổng CVE-2020-11652), chiếm toàn quyền điều khiển với không chỉ máy chủ master mà còn toàn bộ máy chủ minion trong hệ thống. Từ đó hacker có thể cài đặt trái phép các phần mềm độc hại, thậm chí cả phần mềm gián điệp hoặc mã độc tống tiền dữ liệu vào trong hệ thống của doanh nghiệp.

Với mức độ nguy hiểm và quy mô ảnh hưởng nói trên, SaltStack RCE được đánh giá cực kỳ nghiêm trọng và được hệ thống đánh giá lỗ hổng Common Vulnerability Scoring System (CVSS) của Hội đồng tư vấn Hạ tầng thuộc Bộ An ninh Nội địa Mỹ chấm điểm 9,8/10.

Lỗ hổng này được những nhà nghiên cứu tại F-Secure phát hiện vào đầu tháng 3 và công bố vào đầu tháng 5 năm 2020, ngay sau khi SaltStack phát hành và khuyến khích người dùng cập nhật bản vá mới. Một bản vá đặc biệt dành cho phiên bản SaltStack Salt trước bản 2019.2.4 cũng đã được tung ra.

Các nền tảng máy chủ phổ biến có thể bị đe dọa bởi lỗ hổng này.

Theo ông Trương Đức Lượng – Tổng giám đốc công ty cổ phần an ninh mạng Việt nam cho biết "Hiện nay có rất nhiều doanh nghiệp lớn trên thế giới đang sử dụng SaltStack để hỗ trợ quản lý máy chủ như DigiCert Inc., LineageOS… Tại Việt Nam, rất nhiều doanh nghiệp cung cấp dịch vụ, hạ tầng CNTT cũng đang đang sử dụng phần mềm mở này. Nếu hạ tầng của các doanh nghiệp này bị tấn công có thể dẫn đến các máy chủ, dữ liệu của các khách hàng bị rò rỉ, gây ảnh hưởng hàng trăm nghìn doanh nghiệp".

Chuyên gia VSEC khuyến nghị người dùng cài đặt chế độ tự động cập nhật cho SaltStack để đảm bảo hệ thống luôn sử dụng những bản vá bảo mật mới nhất. Thắt chặt quyền truy cập vào máy chủ master, thu hẹp phạm vi những thiết bị có thể truy cập vào các cổng mặc định 4505 và 4506 của SaltStack.

Nguồn: genK