Numéro : AL20-015
Date : 5 mai 2020
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés. Les destinataires de la présente information sont autorisés à redistribuer celle-ci à des auditoires appropriés.
OBJET
Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.
APERÇU
Le 1er mai 2020, SaltStack a publié les versions 3000.2 et 2019.2.4 de son produit Salt de source ouverte afin de corriger deux vulnérabilités critiques qui peuvent donner lieu à l’exécution de commandes à distance en tant que root. Salt est un cadre de gestion Python qui est souvent utilisé dans les centres de données et serveurs infonuagiques pour surveiller et mettre à jour centralement les systèmes d’entreprise.
On rapporte l’exploitation active de systèmes SALT vulnérables sur Internet, dont l’installation malveillante de logiciels non autorisés de cryptominage.
DÉTAILS
Les serveurs gérés par Salt exécutent un agent « minion » puis se connectent à un serveur « master » central pour signaler leur état et récupérer des messages de mise à jour aux fins d’intervention. Le serveur master est à l’écoute des rapports d’état sur le port TCP 4505 et publie des commandes de tâches pour le traitement des serveurs gérés sur le port TCP 4506 (les deux ports par défaut).
L’exploitation est possible en raison de deux vulnérabilités distinctes. La première, CVE-2020-11651, est une vulnérabilité de contournement de l’authentification qui permet d’accéder au réseau sans s’authentifier. La deuxième, CVE-2020-11652, est une vulnérabilité de traversée de répertoire qui permet d’accéder à l’ensemble du système de fichiers du serveur.
Un auteur malveillant peut exploiter les systèmes vulnérables lorsque les deux ports utilisés par le serveur master sont exposés à Internet et l’auteur de menace peut s’y connecter.
MESURES RECOMMANDÉES
Il est recommandé que les administrateurs installent la version corrigée la plus récente de Salt. SaltStack recommande également de configurer le produit de manière à ce que les mises à jour soient obtenues automatiquement du serveur de répertoire de SaltStack.
Les configurations réseau devraient être examinées pour veiller à ce que les ports d’administration des serveurs Salt ne soient pas exposés à Internet. Les références ci-dessous offrent des techniques de renforcement supplémentaires.
RÉFÉRENCES
Annonce de SaltStack :
https://help.saltstack.com/hc/en-us/articles/360043056331-New-SaltStack-Release-Critical-Vulnerability
Renforcement de Salt :
https://docs.saltstack.com/en/latest/topics/hardening.html
Bulletin de F-Secure Labs :
https://labs.f-secure.com/advisories/saltstack-authorization-bypass
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Agissant à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique au Canada, le personnel du Centre pour la cybersécurité travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour élaborer et appliquer des moyens d’intervention, d’atténuation et de reprise en cas d’incidents de cybersécurité. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.
Coordonnées du Centre pour la cybersécurité :
Courriel : contact@cyber.gc.ca
Numéro de téléphone sans frais : 1-833-CYBER-88 (1-833-292-3788)