エフセキュアのプリンシパルコンサルタントであるOlle Segerdahl(オーレ・シーゲルダール)は、「金曜日までにパッチの適用をしなければ、週末の間に侵害されてしまいます」と警告を発しています。「Saltマスターホストがインターネットに公開されている場合、管理者は仕事か休暇かのどちらを選択しなければならないためです」
Olleの警告は、昨日F-Secure Labsのアドバイザリーに公開された、Saltの新たな脆弱性(CVE-2020-11651およびCVE-2020-11652)に言及したものです。 Saltとは、リモート実行ツールおよび構成管理システムで、企業がデータセンターやクラウド環境を維持するために使用されているオープンソースソフトウェアであり、SaltStackのインフラ、ネットワーク、セキュリティ自動化ソリューションの一部でもあります。4月29日、SaltStackはこれらの脆弱性に対するパッチ(バージョン3000.2および2019.2.4)を公開しました。
3月中旬、Olleと彼のチームは、顧客との定期ミーティング中にこれらの脆弱性を発見し、SaltStackに警告しました。攻撃者がこれらの脆弱性を悪用することにより、Saltの実装(「マスター」サーバと、タスクを実行してシステムへのデータを収集する任意の数の「ミニオン」エージェントで構成される)へのアクセス規制に使用される認証・認可制御を回避することができます。攻撃者はマスターのroot権限を使用してリモートからコードを実行し、最終的には、マスターに接続するすべてのミニオンを標的にすることができます。
攻撃者は、マスターとそのミニオン(何百台ものサーバになる可能性がある)を使用して、仮想通貨マイニングを実行するだけかもしれません。しかし、熟練した攻撃者なら、さらに甚大な影響を及ぼす犯罪を実行することができます。それは、ネットワークを探索するためのバックドアをインストールすることから始めます。その後、機密データを盗んだり、恐喝したり(身代金の要求や機密情報の漏洩の脅迫)、あるいは特定の標的と目的に適合させたさまざまな攻撃を展開することになります。
この脆弱性の深刻度は最高レベルです。エフセキュアのチーフリサーチオフィサー、Mikko Hypponen(ミッコ・ヒッポネン)は、今週初め、これらの脆弱性は共通脆弱性評価システムで深刻度10評価だとツイートしています。つまり最大の深刻度で、このスコアはNational Vulnerability Database(脆弱性情報データベース)によってクリティカルと見なされた脆弱性に対してのみ付与されます。
しかし、Olleが本当に懸念しているのは、彼が調査中にインターネット上で6,000ものSaltマスターを発見したという事実です。 Saltマスターは、AWSやGCPなどのクラウド環境において非常にポピュラーになっています。
「その数はもっと少ないと思っていました。多くの企業がインフラ管理システムでSaltを使用していますが、インターネットに公開しなければならない理由は多くはないからです。」とOlleは述べています。「新たな脆弱性が公開されると、管理者がパッチを適用したり非公開にしたりする前に、攻撃者は先を争って公開された脆弱なホストを悪用しようとします。したがって、もし自分が6,000のSaltマスターのうちの1つを管理しているとしたら、脅威にさらされていることを知りつつ、そのままにして週末を迎えるのは決して気持ちの良いことではありません」
これらの脆弱性は、Saltバージョン3000.1以前のバージョンに影響を及ぼします。これは、基本的にSaltStackの更新前に使用されているすべてのSalt実装が対象になります。また、攻撃者はインターネットから隠されたホストにリーチするのは困難ですが、それでも、他の手段を用いて最初に企業ネットワークにアクセスすることで、ホストを悪用することができます。
Olleは、SaltStackの自動更新機能を使用して、今回とそれ以降のパッチをできるだけ早く受け取ることを推奨しています。また彼は、Saltホストを公開している企業は、Saltマスターポート(デフォルト設定では4505および4506)へのアクセスを制限する機能を追加するか、少なくともホストをオープンインターネットからブロックすることを提案しています。SaltStackのWebサイトには、Saltの実装を強化するガイダンスが追加掲載されています。
エフセキュアでは、実際の攻撃でこれらの脆弱性を悪用している形跡や報告はまだ確認していません。
さらに、企業はこれらの脆弱性を悪用した攻撃を検知することができるのです。
エフセキュアは、この攻撃を確実に示したログエントリはまだ発見していません。しかし、攻撃を憂慮している組織は、マスターホストシステムを検索することで侵入の兆候を見つけ出すことが可能です。Saltマスターは、防御側が悪意のあるコンテンツや不審なアクティビティの兆候を検索できる、スケジュールされたジョブの記録を保持しているからです。
F-Secure Labsアドバイザリーには、これらの脆弱性を悪用した過去から現在に至る侵入を検出するための詳細なアドバイスと、脆弱性自体の技術的な詳細情報が提供されています。
カテゴリ