Cisco ha comunicado que algunos de sus servidores de backend del Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) han sido crackeados explotando las vulnerabilidades criticas de Saltstack que se parchearon el pasado mes. Como detalla la empresa, los crackers consiguieron acceder y comprometer seis servidores de backend.
Saltstack es una herramienta Open-Source desarrollada en Python para automatización de procesos de IT, ejecución remota de tareas y manejo de configuraciones.
Cisco no es la primera organización en anunciar una violación de seguridad causada por la explotación de los defectos de SaltStack, con la firma de seguridad digital DigiCert, LineageOS, Vates (creadores de la Orquesta Xen), y la plataforma de blogs Ghost también informa intrusiones.
Los servidores pirateados fueron actualizados y remediados por Cisco el 7 de mayo de 2020, aplicando parches que abordan la vulnerabilidad de omisión de autenticación (CVE-2020-11651) y el recorrido del directorio (CVE-2020-11652) que afecta a los servidores SaltStack.

Cisco también dice que los productos Cisco Modeling Labs Corporate Edition (CML) y Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) implementados en configuraciones independientes o de clúster también son vulnerables a los ataques porque «incorporan una versión de SaltStack que ejecuta el servicio salt-master que se ve afectado por estas vulnerabilidades «.

La compañía lanzó actualizaciones de seguridad que parchean los productos  CML y VIRL-PE, y también ofrece una solución para los clientes que no pueden actualizar sus instalaciones de inmediato.
Cisco también dice que los productos Cisco Modeling Labs Corporate Edition (CML) y Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) desplegados en configuraciones standalone o cluster también son vulnerables a estos ataques por que incorporan una versión del salt-master de Saltstack vulnerable.

La empresa ha desplegado parches de seguridad para CML y VIRL-PE, además de proporcionar una solución temporal para los clientes que no puedan actualizar de inmediato sus instalaciones.

Los atacantes siguen explotando estas vulnerabilidades de Saltstack en otros servidores, con el fin de realizar minado de criptomonedas en los servidores, y también cabe la posibilidad de que lo hagan con otros fines como desplegar payloads aun mas maliciosos o robar información sensible de los servidores.

De acuerdo con Censys, hay más de 5 mil servidores de SaltStack expuestos a internet y potencialmente vulnerables a estas dos vulnerabilidades.

Fuente: bleepingcomputer.com

Compartir