Zum Zeitpunkt der Ankündigung hatte ein Embargo die CVE-Details auf der MITRE CVE-Seite versteckt. Jetzt, da das Embargo aufgehoben wurde, geben wir bekannt, dass CVE-2023-28864 ein CVE innerhalb von Chef Infra Server 12.0-15.6 ist. Es hat das Potenzial, sensible Chef Infra-Knotendaten einem unprivilegierten lokalen Benutzer zugänglich zu machen.
Die Auswirkungen verstehen
Chef Infra Server ist als Konfigurationsmanagement-Tool das Herzstück Ihrer Infrastruktur. Es indexiert Daten auf allen verwalteten Systemen. Diese indizierten Daten können so harmlos sein wie die Anzahl der CPUs oder so vertraulich wie Benutzernamen und Passwörter, die in den Knotenattributen gespeichert sind.
Alle Knotendaten, die vom Ohai-Asset-Inventarsystem von Chef Infra gesammelt oder als Knotenattribute festgelegt wurden, werden zur Indizierung an den Chef Infra Server zurückgegeben. Die Daten werden dann entweder in einer eingebetteten Opensearch/Elasticsearch-Datenbank (je nach Version) oder extern in Äquivalenten von Cloud-Anbietern gespeichert.
Datenbankanmeldeinformationen werden in einer sicheren Konfigurationsdatei gespeichert. Es gibt jedoch Fehler in der Handhabung dieser Konfigurationsdatei. Wenn ein Administrator Chef Infra Server konfiguriert, muss er den ausführen chef-server-ctl neu konfigurieren Befehl zum Anwenden dieser Einstellungen. Im Rahmen der Ausführung dieses Befehls werden alle geänderten Konfigurationsdateien, einschließlich der Datei, die die OpenSearch/Elasticsearch-Anmeldeinformationen enthält, in einem weltweit lesbaren Backup-Verzeichnis gesichert.
Ein nicht privilegierter lokaler Benutzer könnte diese Anmeldeinformationen aus dem Backup-Verzeichnis lesen. Mit den Anmeldeinformationen konnten sie Knotendaten aus der OpenSearch/Elasticsearch-Datenbank extrahieren und dekodieren. Dadurch könnten möglicherweise sensible Infrastrukturkonfigurationsdaten für Angreifer zugänglich gemacht werden, einschließlich der Anmeldeinformationen für zusätzliche interne und externe Systeme.
Schritte zur Behebung
Chef Infra Server 15.7 verbesserte die Sicherheit des Backup-Verzeichnisses, um zu verhindern, dass nicht privilegierte Benutzer sensible Konfigurationsdaten lesen. Der bestmögliche Abhilfemaßnahmen besteht darin, sofort auf Chef Infra Server 15.7 oder höher zu aktualisieren. Dadurch wird nicht nur CVE-2023-28864 behoben, sondern auch sichergestellt, dass Sie vor anderen CVEs in den mitgelieferten Komponenten von Drittanbietern geschützt sind. Siehe Ankündigungen zur Veröffentlichung von Chef Infra Server für weitere Informationen zu diesen CVEs.
Wenn ein Upgrade Ihres Chef Infra Servers aufgrund von Lizenzproblemen oder Ausfallzeiten nicht möglich ist, können Sie Ihr System trotzdem vor lokalen Angriffen schützen, indem Sie das Backup-Verzeichnis manuell sichern:
bash chmod 600 /var/opt/opscode/cache/backup im lokalen Modus
Kopieren
Ermitteln Sie, ob Sie mit cnspec verwundbar sind
Es kann schwierig sein, festzustellen, wann Systeme manuell repariert wurden und wann die richtigen Patch-Versionen installiert wurden. Um Ihnen dabei zu helfen, haben wir Mondoo-Sicherheitsrichtlinien für Chef Infra Server und Chef Infra Client entwickelt. Diese Richtlinien ermöglichen eine kontinuierliche und agentenlose Bewertung der Sicherheit Ihrer Chef Infra Server- und Client-Installationen und tragen so zur Sicherheit Ihrer Infrastruktur bei.
Bewerten Sie Chef Infra Server lokal gegen CVE-2023-28864:
Sie möchten keine Agenten auf Ihrem Server installieren? Sie können Chef Infra Server mit cnspec von Ihrer lokalen Workstation aus der Ferne testen:
Sichern Sie Ihre digitale Infrastruktur noch heute
Setzen Sie Ihre Systeme nicht Bedrohungen wie CVE-2023-28864 aus. Mit unserer Open-Source-Lösung cnspec können Sie diese Sicherheitslücken effektiv erkennen und beheben.
Gehe zu unsere GitHub-Seite um cnspec herunterzuladen und die Chef Infra Client- und Chef Infra Server-Richtlinien noch heute auszuführen.
