=====================================================================

Message d'alerte du CERT-Renater (certsvp@renater.fr)

=====================================================================


Bonjour,


Nous attirons votre attention sur les vulnérabilités découvertes et
corrigées dans le logiciel Salt/SaltStack car ce week-end une dizaine
d'établissements ont été victimes de l'exploitation des failles de
sécurité dans cette application.

En effet le 30 avril 2020, l’éditeur de la solution SaltStack a publié
un avis de sécurité pour la correction de deux vulnérabilités critiques.
L’exploitation de ces vulnérabilités critiques permet à un attaquant
d’exécuter du code arbitraire à distance sans être authentifié
préalablement sur le système.

L'infection se fait au travers d'outils d'attaques sur les ports
4505/TCP et 4506/TCP des serveurs sur lesquels s’exécute le logiciel
SaltStack master.


Une fois la compromission réalisée, plusieurs backdoors sont ajoutées
sur le serveur. Dans un cas un outil d'extraction de cryptomonnaie a
été découvert. Une élévation anormale de la charge du CPU peut
aussi être un signe de l'attaque.



Il semblerait que la campagne d'attaque observée utilise plusieurs
scripts malveillants dont le malware "Kinsing".

Les analyses des postes compromis sont toujours en cours au moment
de l'alerte.


Certain détails de l'attaque sont disponibles sur le forum:
https://github.com/saltstack/salt/issues/57057


Il est recommandé aux utilisateurs de ce logiciel de mettre en oeuvre
rapidement des mesures de protection pour se prémunir d'attaques
éventuelles et de vérifier si leur système a été attaqué et compromis.

Vous trouverez toutes les références utiles sur l'avis et l'alerte du
CERT-FR.


"Multiples vulnerabilités dans SaltStack"
========================================

https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-263/
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-012/

Bulletin de sécurité SaltStack:
https://help.saltstack.com/hc/en-us/articles/360043056331-New-SaltStack-Release-Critical-Vulnerability

Référence CVE CVE-2020-11651
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11651

Référence CVE CVE-2020-11652
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11652

Détails et analyse:
https://labs.f-secure.com/advisories/saltstack-authorization-bypass

Durcissement de la configuration de SaltStack :
https://docs.saltstack.com/en/latest/topics/hardening.html#general-hardening-tip



Cordialement,

=========================================================
Serveur de référence du CERT-Renater
https://services.renater.fr/ssi/
==========================================================
+ CERT-RENATER          | tel : 01-53-94-20-44           +
+ 23 - 25 Rue Daviel    | fax : 01-53-94-20-41           +
+ 75013 Paris           | email: certsp@renater.fr       +
==========================================================