Plateforme
ruby
Composant
puppet
Corrigé dans
2.7.22
La vulnérabilité CVE-2013-3567 est une faille d'exécution de code à distance (RCE) affectant Puppet, une plateforme d'automatisation de la configuration. Elle permet à un attaquant d'exécuter du code arbitraire sur un serveur Puppet via une requête API REST mal formée. Cette vulnérabilité touche les versions de Puppet 2.7.x antérieures à 2.7.22, les versions 3.2.x antérieures à 3.2.2, et Puppet Enterprise avant 2.8.2. Une mise à jour vers une version corrigée est nécessaire pour atténuer ce risque.
L'impact de cette vulnérabilité est critique. Un attaquant exploitant avec succès CVE-2013-3567 peut prendre le contrôle complet du serveur Puppet. Cela permet de compromettre l'ensemble de l'infrastructure gérée par Puppet, y compris les serveurs, les applications et les données. L'attaquant peut installer des logiciels malveillants, voler des données sensibles, modifier la configuration du système et lancer d'autres attaques. La nature de l'API REST rend l'exploitation potentiellement accessible à distance, augmentant considérablement la surface d'attaque. Cette vulnérabilité rappelle les risques liés à la désérialisation non sécurisée, similaires à des failles observées dans d'autres systèmes de gestion de configuration.
Cette vulnérabilité a été activement étudiée et des preuves de concept (PoC) ont été publiées. Bien qu'il n'y ait pas de rapports d'exploitation à grande échelle confirmés, la facilité d'exploitation et la criticité de Puppet en font une cible attrayante. La vulnérabilité a été publiée en 2017, mais reste pertinente en raison de la présence de systèmes Puppet obsolètes dans de nombreux environnements. Elle n'est pas répertoriée sur le KEV à ce jour.
Organizations heavily reliant on Puppet for configuration management are at significant risk. This includes environments with complex infrastructure, sensitive data, and a large number of managed nodes. Legacy Puppet deployments, particularly those running older versions due to compatibility constraints, are especially vulnerable. Shared hosting environments where multiple users share a Puppet master instance are also at increased risk.
• ruby / server:
ps aux | grep puppetCheck the Puppet version running using puppet --version. If it's below 2.7.22, the system is vulnerable.
• ruby / supply-chain:
Review Puppet modules and code for any custom deserialization routines that might be vulnerable to similar attacks.
• generic web:
Monitor Puppet master server logs for unusual REST API requests or errors related to YAML parsing.
discovery
disclosure
patch
Statut de l'Exploit
EPSS
6.46% (percentile 91%)
La mitigation principale consiste à mettre à jour Puppet vers une version corrigée (2.7.22 ou ultérieure pour la série 2.7, 3.2.2 ou ultérieure pour la série 3.2, et 2.8.2 ou ultérieure pour Puppet Enterprise). Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement l'accès à l'API REST ou de restreindre l'accès à des adresses IP de confiance. Il est également recommandé de mettre en œuvre des règles de pare-feu pour limiter l'accès au port de l'API REST. En cas d'utilisation d'un proxy inverse, configurez des règles pour inspecter et bloquer les requêtes YAML malveillantes. Après la mise à jour, vérifiez l'intégrité du système en effectuant un audit de configuration et en recherchant des signes d'intrusion.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2013-3567 is a remote code execution vulnerability in Puppet versions ≤2.7.9 and 3.2.x before 3.2.2, and Puppet Enterprise before 2.8.2. It allows attackers to execute arbitrary code via crafted REST API calls.
You are affected if you are running Puppet versions 2.7.x before 2.7.22, 3.2.x before 3.2.2, or Puppet Enterprise before 2.8.2.
Upgrade Puppet to version 2.7.22 or later. Restrict access to the Puppet REST API and validate all input data.
While no confirmed active campaigns are publicly known, the vulnerability's nature and the availability of PoCs suggest it remains a potential risk.
Refer to the Puppet security advisory: https://puppet.com/security/advisories/puppet-security-advisory-2017-0007
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.