Saltstack 是基于 python 开发的一套 C/S 自动化运维工具。近日,SaltStack 被爆存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),其中:
CVE-2020-11651:为认证绕过漏洞,攻击者可构造恶意请求,绕过 Salt Master 的验证逻辑,调用相关未授权函数功能,达到远程命令执行目的。
CVE-2020-11652:为目录遍历漏洞,攻击者可构造恶意请求,读取服务器上任意文件,获取系统敏感信息信息。
漏洞影响版本
SaltStack < 2019.2.4
SaltStack < 3000.2
安全研究人员在得到企业授权后,对中招机器进行排查,在 /var/log/salt/minion 日志中发现攻击时的恶意文件下载行为:
该下载行为正是利用 SaltStack 漏洞攻击成功后执行的远程命令,命令通过 curl 或 wget 下载和执行脚本 sa.sh (http[:]//217.12.210.192/sa.sh),脚本 sa.sh 具有以下功能:
1、卸载防御软件阿里云骑士、腾讯云镜。
2、通过端口、文件名、进程名、钱包地址匹配匹配找到竞品挖矿木马,删除对应的进程和文件,杀死正在运行的竞争对手的 Docker 容器并删除其镜像。
3、检查文件 /tmp/salt-store 是否存在,md5 是否为
「8ec3385e20d6d9a88bc95831783beaeb」。
4、salt-store 不存在或 md5 不正确则下载该文件至 tmp 目录下。
下载得到的 salt-store 采用 Golang 编写,被编译为 Linux 平台可执行程序,主要有以下功能:
- 下载文件并执行
- 启动和维持挖矿程序
- 与 C&C; 服务器通信,接收并执行远程命令
- 利用 masscan 对外扫描
- 针对 redis 服务进行爆破攻击
salt-store 从 http[:]//206.189.92.32/tmp/v 下载 XMRig 挖矿木马,保存为 /tmp/salt-minions,然后启动连接矿池 xmr-eu1.nanopool.org 挖矿,配置中使用门罗币钱包为:
46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb
目前该钱包已挖矿获得 8236 个门罗币,获利折合人民币超过 370 万元。该黑产团伙的战果显示:入侵控制 Linux 服务器挖矿已是黑产生财之道,采用 Linux 服务器的企业万不可掉以轻心。