思科本周宣布，已修补了两个主动利用的Salt漏洞，但未在恶意攻击者利用该漏洞入侵公司的某些服务器之前。

漏洞的严重等级为CVE-2020-11651和CVE-2020-11652，已于4月底发布SaltStack修补程序，并被评为“严重”级。但是，该问题仅在使用不安全设置时出现。

流行的配置工具使用Salt Master来收集来自称为minions的代理的报告，并向他们传递消息（配置更新）。通常，Salt Master没有连接到Internet，但是在4月底发现了大约6,000个实例。

Salt Master版本2019.2.3和Salt 3000版本3000.1及更早版本中发现的严重漏洞可能被未经身份验证的攻击者滥用，从而获得与Salt Master等效的访问权限。

补丁发布后的几天内，观察到针对该漏洞的首次攻击，搜索提供商Algolia和LineageOS，Ghost和DigiCert服务器由于缺乏及时补丁而迅速沦为受害者。

现在，思科透露与思科虚拟互联网路由实验室个人版（VIRL-PE）一起使用的盐主服务器已于5月7日升级，并且在同一天，发现它们已被上述漏洞破坏。 。

“思科发现，为维护Cisco VIRL-PE版本1.2和1.3维护的盐维护服务器已遭到破坏。该服务器被修复2020年5月7日，”该公司在公布咨询。

黑客访问了六台服务器，包括us-1.virl.info，us-2.virl.info，us-3.virl.info，us-4.virl.info，vsm-us-1.virl.info。 ，以及vsm-us-2.virl.info，思科说。

“思科VIRL-PE重新连接到运行盐主服务的思科维护的盐服务器。这些服务器配置为与其他Cisco Salt-master服务器通信，具体取决于运行的是哪个版本的Cisco VIRL-PE软件。管理员可以通过导航到VIRL Server> Salt Configuration and Status来检查已配置的Cisco Salt-master服务器。”

也受到Salt漏洞影响的Cisco Modeling Labs企业版（CML）无法连接到Cisco维护的Salt Server。该公司解释说，对于CML和VIRL-PE软件版本1.5和1.6，启用的盐主服务的可利用性取决于盐主服务器在TCP端口4505和4506上是否可访问。

该公司补充说：“对于发现运行有Salt-master服务的任何安装，思科建议您检查机器是否受到威胁，或者对机器进行重新映像并安装最新版本的Cisco CML或Cisco VIRL-PE。”

Cisco CML和Cisco VIRL-PE可以以独立模式和群集模式进行部署，其影响取决于部署类型。CML和VIRL-PE的2.0版均不受影响，因为它们不运行salt-master服务。

对于版本1.6，执行全新安装不会造成影响，因为salt-master服务未在独立模式下运行，或在群集模式下的专用网络上运行。但是，从1.5版升级时，salt-master服务正在运行。

对于1.5版或更早版本，salt-master服务正在运行，建议客户升级到修补版本。