Os hackers usaram uma vulnerabilidade no pacote de software SaltStack, que a Cisco fornece com alguns produtos, para obter acesso a seis servidores

Server Router Datacenter

A Cisco revelou que seis servidores de sua operação em conjunto com versões anteriores do produto VIRL-PE (virtual routing lab personal edition) foram comprometidos após a divulgação de vulnerabilidades críticas no SaltStack. A empresa de segurança finlandesa F-Secure já havia avisado no início deste mês que vulnerabilidades críticas nos sistemas de automação de infraestrutura SaltStack estavam sendo exploradas por pessoas desconhecidas.

As falhas afetam o SaltStack Salt Master, que envia atualizações para salt minions que controlam os servidores. A Cisco informou em um comunicado que dois de seus produtos – o Cisco Corporate Labs Edition (CML) e o Cisco VIRL-PE – “incorporam uma versão do SaltStack que está executando o serviço salt-master afetado por essas vulnerabilidades”. O VIRL-PE é descrito como um ambiente de modelagem e simulação de rede, enquanto o CML é uma plataforma de simulação de rede. A Cisco informou que “os softwares CML e VIRL-PE 2.0 e os posteriores não executam o serviço salt-master”.

No entanto, as versões anteriores são impactadas de várias maneiras explicadas pelo comunicado, dependendo de “como o produto foi implantado”. A Cisco avisou que já foram lançadas soluções alternativas para isso. “Para qualquer instalação encontrada com o serviço salt-master em execução, a Cisco recomenda inspecionar a máquina para verificar se há comprometimento, ou fazer uma nova imagem da máquina e instalar a versão mais recente do Cisco CML ou Cisco VIRL-PE”.

A Cisco disse que suas próprias equipes de infraestrutura mantinham servidores salt-master com o VIRL-PE, e que seis deles foram comprometidos por meio das falhas do SaltStack: “A Cisco identificou que servidores salt-master mantidos pela empresa com as versões 1.2 e 1.3 do Cisco VIRL-PE estavam comprometidos. Os servidores foram corrigidos em 7 de maio de 2020”.

A empresa listou os servidores comprometidos comosendo os seguintes:
us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm-us-1.virl.info e vsm -us-2.virl.info.

O comunicado acrescenta que “o Cisco VIRL-PE se conecta de volta aos Salt Servers mantidos pela Cisco que estão executando o serviço salt-master”, afirmou. “Esses servidores estão configurados para se comunicarem com um diferente servidor salt-master da Cisco, dependendo da versão do software Cisco VIRL-PE em execução. Os administradores podem verificar o servidor salt-master da Cisco configurado navegando para VIRL Server> Salt Configuration and Status”. A Cisco acrescentou que seu produto CML “não se conecta de volta a nenhum Salt Server mantido pela Cisco”.

Com agências internacionais

Fonte: CISO Advisor