Cisco a annoncé cette semaine avoir corrigé deux vulnérabilités de Salt exploitées activement, mais pas avant que des acteurs malveillants aient exploité les failles pour pirater certains des serveurs de l’entreprise.

Classées critiques, les vulnérabilités, suivies comme CVE-2020-11651 et CVE-2020-11652, ont été rendues publiques fin avril, lorsque les correctifs SaltStack ont ​​été publiés. Le problème, cependant, n’apparaît que lorsque des paramètres non sécurisés sont utilisés.

L’outil de configuration populaire utilise un Salt Master pour collecter des rapports d’agents appelés sbires et pour leur envoyer des messages (mises à jour de configuration). En règle générale, le Salt Master n’est pas connecté à Internet, mais environ 6 000 cas ont été trouvés exposés fin avril.

La vulnérabilité critique trouvée dans Salt Master version 2019.2.3 et Salt 3000 versions 3000.1 et antérieures pourrait être exploitée par des attaquants non authentifiés pour obtenir un accès root équivalent à Salt Master.

Quelques jours après l’arrivée des correctifs, les premières attaques ciblant la vulnérabilité ont été observées, le fournisseur de recherche Algolia et les serveurs LineageOS, Ghost et DigiCert étant rapidement victimes en raison du manque de correctifs en temps opportun.

Maintenant, Cisco révèle que les serveurs Salt-Master utilisés avec Cisco Personal Internet Routing Lab Personal Edition (VIRL-PE) ont été mis à niveau le 7 mai et que, le même jour, ils ont été trouvés compromis par les vulnérabilités susmentionnées. .

«Cisco a identifié que les serveurs maîtres de maintenance de Cisco qui desservaient les versions 1.2 et 1.3 de Cisco VIRL-PE étaient compromis. Les serveurs ont été corrigés le 7 mai 2020 », a annoncé la société dans un avis.

Les pirates ont eu accès à six serveurs, dont us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm-us-1.virl.info, et vsm-us-2.virl.info, Dit Cisco.

«Cisco VIRL-PE se reconnecte aux serveurs Salt maintenus par Cisco qui exécutent le salt-master …