데이터센터 수천 곳에 영향을 미치는 심각한 SaltStack 원격 코드 실행 취약점 발견

Critical SaltStack RCE Bug (CVSS Score 10) Affects Thousands of Data Centers

오픈소스 SaltStack Sat 구성 프레임워크에서 치명적인 보안 취약점 2개가 발견되었습니다. 

공격자가 이 취약점을 악용할 경우 데이터 센터와 클라우드 환경에 설치된 원격 서버에서 임의 코드를 실행할 수 있는 것으로 나타났습니다.

F-Secure 연구원들은 지난 3월 초 이 취약점을 발견하였으나, SaltStack 연구원들이 이 문제를 해결하는 패치(버전 3000.2)를 공개한 후 하루 뒤인 4월 30일에야 이 취약점에 대한 세부사항을 공개했습니다.

이 취약점은 CVE-2020-11651, CVE-2020-11652로 등록되었으며, CVSS 점수 10을 기록했습니다.

CVE-2020-11651은 인증되지 않은 네트워크 클라이언트에 의도치 않게 기능이 노출되어 발생하는 인증 우회 취약점입니다.

CVE-2020-11652는 디렉터리 접근 공격(directory traversal)으로 네트워크 요청 내 파라미터 등의 신뢰할 수 없는 입력을 적절히 검사하지 않아 마스터 서버 내 파일 시스템 전체에 무제한 액세스를 허용합니다.

연구원들은 공격자들이 이 취약점을 곧 실제 공격에 사용할 수 있을 것이라 경고했습니다.

SaltStack 또한 Salt 환경을 보호하기 위한 Salt 환경을 보호하기 위한 조언을 따르도록 권장했습니다.

ZeroMQ 프로토콜 내 취약점

Salt는 설계된 강력한 파이썬 기반 자동화 및 원격 실행 엔진으로 사용자가 여러 머신에서 직접 명령을 실행할 수 있도록 설계되었습니다.

서버 상태 모니터링 및 업데이트를 위해 개발된 유틸리티인 Salt는 마스터-슬레이브 아키텍처를 사용합니다. 

“마스터” 노드를 사용하여 많은 “미니언” 타깃 그룹(예: 서버)에 한꺼번에 설정을 변경하여 중앙 저장소에서 구성 및 소프트웨어 업데이트를 배포하는 과정을 자동화합니다.

마스터와 미니언 사이의 통신은 ZeroMQ 메시지 버스를 통해 이루어집니다. 

마스터는 ZeroMQ 채널 2개를 사용하는데, 미니언이 실행 결과를 보고하는 “요청 서버”와 마스터가 미니언이 연결해 구독할 수 있는 메시지를 게시하는 “퍼블리싱 서버”입니다.

F-Secure 연구원에 따르면, 이 취약점 2개는 툴의 ZeroMQ 프로토콜에 존재합니다.

이 취약점은 ‘요청 서버’ 포트에 연결이 가능한 공격자가 모든 인증 및 권한 제어를 우회하여 임의 제어 메시지를 퍼블리싱합니다.

그리고 ‘마스터’ 서버 파일 시스템 내 모든 파일을 읽기/쓰기 가능하며 루트 권한으로 마스터에 인증하는데 사용되는 비밀 키를 훔칠 수 있습니다.

이 취약점으로 인해 마스터 및 미니언 모두에서 루트 권한으로 원격 명령을 실행할 수 있습니다.

공격자는 이 취약점을 악용하여 마스터 서버에서 관리 명령을 호출하고 마스터 퍼블리싱 서버에 직접 메시지를 큐에 추가할 수 있어, 결과적으로 Salt 미니언이 악성코드를 실행하도록 만들 수 있습니다.

또한 파일을 특정 위치로 쓰고 읽는 기능을 포함하는 휠 모듈에서 파일 경로를 제대로 검사하지 않아 의도한 디렉터리 외부의 파일을 읽도록 허용하는 디렉터리 접근 취약점이 발견되었습니다.

취약한 Salt 마스터 찾기

F-Secure 연구원들은 초기에 진행한 스캔 결과 취약한 Salt 인스턴스 5천 개 이상이 공개 인터넷에 노출된 상태였다고 밝혔습니다.

따라서 취약한 마스터에 실행될 수 있는 공격을 탐지하기 위해서는 미니언으로 퍼블리싱 되는 메시지에 악성 콘텐츠가 있는지 감시해야 합니다.

인증 취약점을 악용할 경우 요청 서버 포트(디폴트 4506)로 전송되는 데이터에 ASCII 문자열 "_prep_auth_info" 또는 "_send_pub"이 나타날 수 있습니다.

Salt를 사용 중일 경우 소프트웨어 패키지를 최신 버전으로 업데이트할 것을 권장합니다.

또는 salt 마스터로의 접근을 제한하거나 인터넷을 차단하는 네트워크 보안 제어를 알려진 미니언에 추가하기 전 조금 더 신중해야 합니다. 

현재 Salt에서 제공하는 인증 및 권한 제어가 적의 네트워크에 노출될 수 있을 만큼 충분히 강력하지 않기 때문입니다.

현재 알약에서는 해당 악성코드 샘플에 대해 Misc.Riskware.BitCoinMiner.Linux으로 탐지 중입니다.

출처:

https://thehackernews.com/2020/05/saltstack-rce-vulnerability.html

https://labs.f-secure.com/advisories/saltstack-authorization-bypass

https://docs.saltstack.com/en/latest/topics/releases/3000.2.html