思科今天表示,其某些思科虚拟互联网路由实验室个人版(VIRL-PE)后端服务器通过利用上个月补丁的关键SaltStack漏洞而被黑客入侵。
今天早些时候发布的安全公告说:“思科基础设施维护着与思科VIRL-PE一起使用的盐主服务器。” “这些服务器已于2020年5月7日升级。”
“思科发现,思科维护的盐主服务器正在为Cisco VIRL-PE 1.2和1.3版本提供服务。”
六台思科后端服务器遭到黑客攻击
正如该公司详细介绍的那样,黑客能够入侵六台后端基础结构服务器:us-1.virl.info,us-2.virl.info,us-3.virl.info,us-4.virl.info和vsm -us-1.virl.info和vsm-us-2.virl.info。
思科于2020年5月7日通过应用补丁修复了影响SaltStack服务器的身份验证旁路漏洞(CVE-2020-11651)和目录遍历(CVE-2020-11652),对被黑服务器进行了更新和修复。
思科还表示,以独立配置或集群配置部署的思科建模实验室企业版(CML)和思科虚拟Internet路由实验室个人版(VIRL-PE)产品也容易受到攻击,因为它们“包含了正在运行的SaltStack版本。这些漏洞会影响盐大师服务。”
该公司发布了修补CML和VIRL-PE 产品的安全更新,还为无法立即更新其安装的客户提供了一种解决方法。
CML使用户能够模拟Cisco和第三方设备,而VIRL-PE使他们能够在开发和测试环境中设计和测试虚拟网络。
攻击者积极利用SaltStack漏洞
CVE-2020-11652允许读取目标目录之外的文件,并与CVE-2020-11651结合使用,使未经身份验证的攻击者拥有完全的读写访问权限,并使他们能够窃取对盐主进行身份验证所需的秘密密钥服务器作为根。
思科并不是第一个宣布利用SaltStack漏洞造成安全漏洞的组织,数字安全公司DigiCert,LineageOS,Vates(Xen Orchestra的创建者)以及Ghost博客平台也都报告了入侵事件。
尽管大多数以这种方式被黑客入侵的组织都说,攻击的最终目标是使用受损的服务器进行非法硬币开采,但其他更隐蔽的目标(如部署更危险的恶意有效载荷或盗窃敏感信息)的可能性也很大。不能排除。
根据攻击面分析搜索引擎Censys从5月1日开始的数据,共有5,000多个Internet公开的SaltStack服务器 可能旨在利用这两个漏洞的脆弱攻击。
*编译:Domino
*来自:bleepingcomputer