Platform
ruby
Component
puppet
Opgelost in
2.7.22
CVE-2013-3567 is een Remote Code Execution (RCE) kwetsbaarheid die betrekking heeft op Puppet, een configuratiebeheertool. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige code uit te voeren via de REST API. De kwetsbaarheid treft Puppet versies kleiner of gelijk aan 2.7.9 en 3.2.x versies kleiner dan 3.2.2, evenals Puppet Enterprise versies kleiner dan 2.8.2. Een fix is beschikbaar in versie 2.7.22.
Een succesvolle exploitatie van CVE-2013-3567 kan leiden tot volledige overname van de Puppet-server. Aangezien Puppet wordt gebruikt om systemen te configureren en te beheren, kan een aanvaller via deze kwetsbaarheid toegang krijgen tot en manipuleren van gevoelige data, configuraties wijzigen en zelfs andere systemen binnen de omgeving compromitteren. De impact is vergelijkbaar met andere RCE-kwetsbaarheden, waarbij de aanvaller de controle over het systeem overneemt. De blast radius is afhankelijk van de privileges van de Puppet-agent en de configuratie van de omgeving.
Deze kwetsbaarheid is bekend en er zijn publicaties over beschikbaar. Er is geen bevestigde actieve exploitatie in de wild, maar de kwetsbaarheid is wel opgenomen in de CISA KEV catalogus, wat de potentiële dreiging aangeeft. Er zijn public proof-of-concepts beschikbaar, wat de exploitatie verder vergemakkelijkt. De publicatiedatum van de CVE is 2017-10-24.
Organizations heavily reliant on Puppet for configuration management are at significant risk. This includes environments with complex infrastructure, sensitive data, and a large number of managed nodes. Legacy Puppet deployments, particularly those running older versions due to compatibility constraints, are especially vulnerable. Shared hosting environments where multiple users share a Puppet master instance are also at increased risk.
• ruby / server:
ps aux | grep puppetCheck the Puppet version running using puppet --version. If it's below 2.7.22, the system is vulnerable.
• ruby / supply-chain:
Review Puppet modules and code for any custom deserialization routines that might be vulnerable to similar attacks.
• generic web:
Monitor Puppet master server logs for unusual REST API requests or errors related to YAML parsing.
discovery
disclosure
patch
Exploit Status
EPSS
6.46% (91% percentiel)
De primaire mitigatie is het upgraden van Puppet naar versie 2.7.22 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de toegang tot de REST API via een firewall of proxy. Configureer de Puppet-server om alleen vertrouwde YAML-data te deserialiseren. Het implementeren van een Web Application Firewall (WAF) kan helpen om kwaadaardige REST API-aanvragen te blokkeren. Controleer de Puppet-logbestanden op verdachte activiteiten, zoals ongebruikelijke Ruby-class instantiaties.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2013-3567 is a remote code execution vulnerability in Puppet versions ≤2.7.9 and 3.2.x before 3.2.2, and Puppet Enterprise before 2.8.2. It allows attackers to execute arbitrary code via crafted REST API calls.
You are affected if you are running Puppet versions 2.7.x before 2.7.22, 3.2.x before 3.2.2, or Puppet Enterprise before 2.8.2.
Upgrade Puppet to version 2.7.22 or later. Restrict access to the Puppet REST API and validate all input data.
While no confirmed active campaigns are publicly known, the vulnerability's nature and the availability of PoCs suggest it remains a potential risk.
Refer to the Puppet security advisory: https://puppet.com/security/advisories/puppet-security-advisory-2017-0007
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.