Pasar el control total de su centro de datos a los hackers a través de CVE-2020-11651 y CVE-2020-11652

Olle Segerdahl, especialista en seguridad en base de datos de F-Secure, ha revelado dos vulnerabilidades en Salt, un software de código abierto que algunas organizaciones emplean para mantener centros de datos y entornos en la nube.   

El experto y su equipo descubrieron estas fallas de seguridad durante un análisis rutinario a finales de marzo. Las vulnerabilidades, identificadas como CVE-2020-11651 y CVE-2020-11652, pueden ser explotadas por actores de amenazas para esquivar los controles de autenticación empleados por Salt (que consisten en un “servidor maestro” y un “servidor minion”). Explotando estas fallas, los hackers maliciosos pueden ejecutar código remoto con privilegios de root en el servidor maestro, por ende comprometiendo los servidores minions activos.

En un escenario de ataque potencial, un hacker podría usar el servidor maestro para obtener una gran capacidad de procesamiento y llevar a cabo una campaña de minado de criptomoneda, aunque esta es sólo una de muchas posibilidades. Acorde a los expertos en seguridad en base de datos, los hackers también podrían instalar backdoors para acceder a la red comprometida y robar datos confidenciales, así como desplegar ransomware o incluso amenazar a la víctima con revelar información confidencial.    

Las vulnerabilidades recibieron un puntaje de 10/10 en la escala del Common Vulnerability Scoring System (CVSS), por lo que se les considera errores críticos. Cabe recordar que el puntaje de 10 en esta escala sólo es otorgado a errores prioritarios según la Base de Datos Nacional de Vulnerabilidades (NVD).

Un incidente relevante relacionado con estas fallas es el hallazgo de 6000 servidores maestros de Salt descubiertos recientemente en Internet. “Esperaba que esta cifra fuese mucho más baja; cuando estas fallas son reveladas al público, los hackers comienzan a explotar los host expuestos, pues son más vulnerables”, asegura el experto en seguridad en base de datos.

Las vulnerabilidades afectan a la versión 3000.1 y anteriores de Salt, es decir, prácticamente todas las versiones en uso de este software antes de la actualización de SaltStack. A pesar de que los hackers tendrían, en teoría, mayores dificultades para llegar a hosts ocultos en Internet, éstos aún podrían ser explotados si los atacantes acceden por otra forma a las redes corporativas.   

Como medida de seguridad, Segerdahl recomienda que los administradores habiliten la actualización automática de SaltStack, lo que implementará los próximos parches de seguridad de forma inmediata. El Instituto Internacional de Seguridad Cibernética (IICS) también recomienda restringir el acceso a los puertos maestros de Salt o, por lo menos, bloquear los host de Internet abierto.