Nick Security Log

securityを始めとしたNickのブログです

SaltStack RCE 実行してみた (CVE-2020-11651)

f:id:NickShadows:20200509122134j:plain

※勉強目的のみ。悪用厳禁。
ローカルの検証環境で実行しています。

脆弱性情報

メソッドを適切に検証しないため、認証なしユーザでユーザートークンを奪取したり、任意のコマンドを実行できる。

公式
community.saltstack.com

CVE-2020-11651
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11651
ThreatPost
threatpost.com
JPCERT
www.jpcert.or.jp
tenable
jp.tenable.com

対策

アップデート
公式ガイダンス
community.saltstack.com

検証

インストール
以下のサイトから頑張って脆弱性なバージョンをインストールする。
(挙動がわからなくて2~3日ほっといた)
docs.saltstack.com

poc実行
pocはググれば出てくるが、ここでは記載しない。
特定のディレクトリにファイルを作成するコマンドを実行することとする。

実行前
f:id:NickShadows:20200509121239p:plain


コマンド

id>/home/ubuntu/salt/nick.txt

コマンド実行した。
f:id:NickShadows:20200509121720p:plain

実行後
f:id:NickShadows:20200509121812p:plain


コマンドが正常に実行できたことが確認できた。

課題

  • CVE-2020-11652の検証。任意ディレクトリ関連は機能がよくわからなくて検証はしていない。
  • 原理の解析。何がどうなって脆弱性が発生し、どこを変更したから修正されたのかわかってない。

感想

公開されているpocを使ってコマンド実行までは出来ましたが、そもそもSaltの機能や挙動がわかっていないので、なぜ脆弱になっているのかがわからなかったです。

製品の挙動を理解することの大事さを痛感しました。

この脆弱性は、私が使用しているInoreaderのフィードを2~3日埋め尽くしました。
最初見たときは、明らかにいろんなところが記事にしており、スキャンも始まっているとあったので大事になるかなと思いました。

日本で話題になるかなと思ってましたが、JPCERTが注意喚起出しましたね。
pocを検証してみて、めっちゃ簡単にコマンド実行できたので、確かにこれはまずいです。

いろんなところが一通り注意喚起やら記事やら出してから検証したので、もうちょっとスピード感もっと検証していきたいです。