Plataforma
ruby
Componente
puppet
Corregido en
2.7.22
La vulnerabilidad CVE-2013-3567 es una falla de deserialización YAML que afecta a Puppet, permitiendo a atacantes ejecutar código arbitrario en sistemas vulnerables. Esta falla se debe a la forma en que Puppet maneja las llamadas a la API REST, permitiendo la creación de objetos Ruby maliciosos. Las versiones afectadas incluyen Puppet 2.7.x anteriores a 2.7.22, 3.2.x anteriores a 3.2.2 y Puppet Enterprise antes de 2.8.2. La solución es actualizar a una versión corregida.
Un atacante puede explotar esta vulnerabilidad enviando una solicitud API REST maliciosa que contenga datos YAML diseñados para desencadenar la deserialización de un objeto Ruby arbitrario. Esto permite al atacante ejecutar código arbitrario en el servidor Puppet con los privilegios del usuario que ejecuta el servicio Puppet. El impacto potencial es significativo, incluyendo la toma de control completa del sistema, robo de datos sensibles y movimiento lateral dentro de la red. Esta vulnerabilidad comparte similitudes con otras vulnerabilidades de deserialización, donde la manipulación de datos de entrada puede llevar a la ejecución de código no deseado.
CVE-2013-3567 fue publicado en 2017, aunque la vulnerabilidad se descubrió anteriormente. No se ha listado en el KEV de CISA. Existen pruebas de concepto públicas disponibles, lo que facilita la explotación de esta vulnerabilidad. Aunque no se han reportado campañas de explotación activas a gran escala, la disponibilidad de pruebas de concepto y la severidad de la vulnerabilidad la convierten en un objetivo atractivo para los atacantes.
Organizations heavily reliant on Puppet for configuration management are at significant risk. This includes environments with complex infrastructure, sensitive data, and a large number of managed nodes. Legacy Puppet deployments, particularly those running older versions due to compatibility constraints, are especially vulnerable. Shared hosting environments where multiple users share a Puppet master instance are also at increased risk.
• ruby / server:
ps aux | grep puppetCheck the Puppet version running using puppet --version. If it's below 2.7.22, the system is vulnerable.
• ruby / supply-chain:
Review Puppet modules and code for any custom deserialization routines that might be vulnerable to similar attacks.
• generic web:
Monitor Puppet master server logs for unusual REST API requests or errors related to YAML parsing.
discovery
disclosure
patch
Estado del Exploit
EPSS
6.46% (91% percentil)
La mitigación principal para CVE-2013-3567 es actualizar a una versión de Puppet que incluya la corrección, específicamente 2.7.22 o superior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la API REST de Puppet solo a fuentes confiables. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes API REST que contengan datos YAML sospechosos. Monitorear los logs de Puppet en busca de patrones de deserialización inusuales también puede ayudar a detectar intentos de explotación. Después de la actualización, confirme la mitigación verificando que la API REST no sea vulnerable a la deserialización de objetos maliciosos mediante pruebas de penetración.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2013-3567 is a remote code execution vulnerability in Puppet versions ≤2.7.9 and 3.2.x before 3.2.2, and Puppet Enterprise before 2.8.2. It allows attackers to execute arbitrary code via crafted REST API calls.
You are affected if you are running Puppet versions 2.7.x before 2.7.22, 3.2.x before 3.2.2, or Puppet Enterprise before 2.8.2.
Upgrade Puppet to version 2.7.22 or later. Restrict access to the Puppet REST API and validate all input data.
While no confirmed active campaigns are publicly known, the vulnerability's nature and the availability of PoCs suggest it remains a potential risk.
Refer to the Puppet security advisory: https://puppet.com/security/advisories/puppet-security-advisory-2017-0007
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.