Plataforma
ruby
Componente
puppet
Corrigido em
2.7.22
A vulnerabilidade CVE-2013-3567 é uma falha de execução remota de código (RCE) presente nas versões do Puppet anteriores a 2.7.22 e 3.2.2, e no Puppet Enterprise antes de 2.8.2. Essa falha ocorre devido à desserialização insegura de arquivos YAML, permitindo que atacantes executem código arbitrário através de requisições maliciosas à API REST. A correção para essa vulnerabilidade foi lançada em 2.7.22 e versões posteriores.
Um atacante pode explorar essa vulnerabilidade enviando uma requisição API REST especialmente criada contendo um arquivo YAML malicioso. Ao desserializar esse arquivo, o Puppet pode instanciar classes Ruby arbitrárias, permitindo a execução de código malicioso no servidor. O impacto pode ser severo, incluindo a obtenção de controle total sobre o sistema, roubo de informações confidenciais, ou a instalação de malware. A exploração bem-sucedida pode levar à comprometimento completo do ambiente gerenciado pelo Puppet, afetando todos os nós e recursos controlados por ele. Essa falha se assemelha a outras vulnerabilidades de desserialização insegura, onde a falta de validação dos dados de entrada permite a execução de código arbitrário.
A vulnerabilidade CVE-2013-3567 foi divulgada em 2017. Embora não esteja listada no KEV da CISA, a gravidade da falha (RCE) e a sua ampla utilização em ambientes de gerenciamento de configuração a tornam um alvo atraente para atacantes. Existem provas de conceito (PoCs) publicamente disponíveis, o que facilita a exploração da vulnerabilidade. É importante monitorar a atividade da rede e os logs do Puppet em busca de sinais de exploração.
Organizations heavily reliant on Puppet for configuration management are at significant risk. This includes environments with complex infrastructure, sensitive data, and a large number of managed nodes. Legacy Puppet deployments, particularly those running older versions due to compatibility constraints, are especially vulnerable. Shared hosting environments where multiple users share a Puppet master instance are also at increased risk.
• ruby / server:
ps aux | grep puppetCheck the Puppet version running using puppet --version. If it's below 2.7.22, the system is vulnerable.
• ruby / supply-chain:
Review Puppet modules and code for any custom deserialization routines that might be vulnerable to similar attacks.
• generic web:
Monitor Puppet master server logs for unusual REST API requests or errors related to YAML parsing.
discovery
disclosure
patch
Status do Exploit
EPSS
6.46% (percentil 91%)
A mitigação primária para CVE-2013-3567 é atualizar o Puppet para a versão 2.7.22 ou superior, ou o Puppet Enterprise para a versão 2.8.2 ou superior. Se a atualização imediata não for possível, considere desabilitar a API REST ou restringir o acesso a ela apenas a fontes confiáveis. Implementar regras de firewall para bloquear tráfego não autorizado à porta da API REST também pode ajudar. Além disso, revise e valide todos os arquivos YAML antes de serem processados pelo Puppet para garantir que não contenham código malicioso. Após a atualização, confirme a correção verificando os logs do Puppet em busca de erros relacionados à desserialização.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2013-3567 is a remote code execution vulnerability in Puppet versions ≤2.7.9 and 3.2.x before 3.2.2, and Puppet Enterprise before 2.8.2. It allows attackers to execute arbitrary code via crafted REST API calls.
You are affected if you are running Puppet versions 2.7.x before 2.7.22, 3.2.x before 3.2.2, or Puppet Enterprise before 2.8.2.
Upgrade Puppet to version 2.7.22 or later. Restrict access to the Puppet REST API and validate all input data.
While no confirmed active campaigns are publicly known, the vulnerability's nature and the availability of PoCs suggest it remains a potential risk.
Refer to the Puppet security advisory: https://puppet.com/security/advisories/puppet-security-advisory-2017-0007
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.