Araştırmacılar, açık kaynaklı SaltStack BT yapılandırma ve orkestrasyon platformuna karşı bir şablon enjeksiyon tekniğinin yanı sıra, saldırganların kuruluşun ağını ele geçirmesine olanak verebilecek yaygın yanlış yapılandırma sorunları belirlediler.
Salt, Puppet veya Ansible’a benzer, olaylara ve belirli yapılandırmalara dayalı olarak ağ ve güvenlik işlevlerini otomatikleştirmeye yönelik açık kaynaklı bir yazılımdır. Python ile yazılmış olup, ağ yönetimi ve güvenliğinde yaygın olarak kullanılmaktadır. Bununla birlikte, Salt’ın bir uygulaması olan SaltStack’teki yaygın yanlış yapılandırmalar ve güvenlik sorunları, bir saldırganın uzaktan kod yürütmesine, bir yönetim ağında varlık ve kontrol elde etmesine ve başlangıçta güvenliği ihlal edilmiş sistem olan Alex Hill’e bağlı diğer sistemlere sızmasına olanak tanır. Butik siber güvenlik firması Skylight Cyber’in güvenlik uzmanı, bir blog yazısında şunları yazdı: Araştırma ekibi, rastgele kod çalıştırmak ve hatta müşteri ortamlarına dönmek için hedef ortamda komut yürütmeyi başarmalarına olanak tanıyan bir dizi üç basit yönetim yapılandırması ve bir “bonus enjeksiyon” yöntemi belirledi.
Hill, Dark Reading’e “Yanlış yapılandırılmış Salt uygulamaları, tehlikeye atılırsa oldukça hızlı bir şekilde çok daha geniş bir en kötü durum düzeyinde ağ güvenliği ihlaline yol açabilecek ve orantılı olarak sertleştirilmesi gereken yüksek değerli bir hedeftir” dedi.
Müşteri Erişimi için Şablon Enjeksiyonu
Salt, özünde cihazlarda durumu uygulamaya ve korumaya odaklanan otomatikleştirilmiş altyapı yönetimi sağlar; ağdaki bir cihazın etkin durumu, yapılandırılmış duruma göre yanlış hizalanmışsa, platform önceden tanımlanmış yapılandırma ayarlarını yeniden uygulamaya çalışır. Hill, bunun, yeni kapsayıcıları getirmek için bir derleme işlem hattını tetiklemek üzere güncel yapılandırma dosyalarını zorlamak için özel komut dosyaları anlamına gelebileceğini yazdı.
Salt ayrıca, merkezi ana denetleyici cihazlara rapor veren “minyonlar” olarak bilinen yazılım aracıları aracılığıyla cihazları yönetir.
Hill, Dark Reading’e, araştırmacıların Salt’ta – kendi başına yeni olmasa da – BT yönetimi alanındaki istismar potansiyeli açısından yeni olan bir Jinja şablonu enjeksiyon güvenlik açığı keşfettiğini söyledi. Kusur, saldırganların yalnızca ana cihazda ve yardımcılarında değil, aynı zamanda müşteri ortamlarında da rasgele kod çalıştırmasına izin veren komut yürütmesine neden olabilir. Ekip, tuz ustasını kandırarak root olarak çalışan başka bir kurban minyona talimat vermesi için kandırmayı başardı, temel olarak onlara istediklerini yapmalarına izin verdi ve potansiyel bir saldırgan tarafından gerçekleştirilen bir dizi alçakça faaliyete kapı açtı.
Ortak Tuz Yanlış Yapılandırmaları
Hill, bir ortamı kolayca çökertebilecek üç “son derece basit yanlış yapılandırma” belirledi: otomatik minyon kaydı, dosyalarda saklanan sırlar ve sütun sisteminin gizli dosyalarının açığa çıkması.
Hill, Salt’ın mühendis dizüstü bilgisayarları veya yeni siteler için sunucular gibi yeni müşteri altyapısının sağlanmasını otomatikleştiren ve kolaylaştıran bir otomatik kayıt özelliğine sahip olduğunu, ancak aynı zamanda hileli cihazların ağa girmesine de izin verebileceğini söylüyor Hill. Saldırgan bir sistemi çalıştırabilir, bir minion kurabilir ve sistemi ana denetleyiciye otomatik olarak kaydedebilir. — bu noktada saldırgan yerleşik komutlar verebilir, yerel dosyaları okuyabilir ve hatta şablon yerleştirme yöntemini keşfedebilir.
Sırlar Salt ile açığa çıkar çünkü çerçeve, minyonların cihazın durumunu sıfırlamaya çalıştığında file_roots dizinlerinden gerekli tüm dosyaları çekebilmesini bekler. Ana aygıtın parolaları da dahil olmak üzere tüm sırlar, web_user.sls’deki salt-master’da düz metin halinde oldukları için açığa çıkar.
Skylight araştırmacıları, ortamdaki bir minyonu kontrol eden bir saldırganın da parolaya erişebileceğini ve böylece tüm sistemi tehlikeye atabileceğini söyledi.
Buna bağlı olarak, sütun dizininin erişilebilir bir dizinde olması, yönetici tarafından yasal olarak kaydedilmemiş olanlar da dahil olmak üzere tüm minyonların — Salt sırlar dizininin içeriğini görebilirler.
Tuz Nasıl Güvenceye Alınır?
Hill, blog gönderisine, Salt’ı dağıtırken kuruluşların yaygın yanlış yapılandırma hatalarının tuzağına düşmemelerini veya saldırganların Jinja şablon enjeksiyon güvenlik açığından yararlanmalarına olanak tanıyan bir ortam oluşturmamalarını sağlamak için bir “hile sayfası” olarak adlandırdığı şeyi ekledi.
“Dahili olarak SaltStack kullanan işletmeler, uygulamalarının nasıl yapılandırıldığına ve şu anda vurgulanan sorunlardan herhangi birinin olup olmadığına bakmalı” diyor.
Kuruluşlar genel olarak “kimseye güvenme” güvenlik tutumunu benimsemelidir – bu durumda “kimse”, “köstebek yok” anlamına gelir.
Hill, gönderisinde “Tüm minyonların haydut olduğunu” ve “ödün verildiğini ve güvenilmediğini varsayın” tavsiyesinde bulundu.