Разработчики мобильной платформы , пришедшего на смену CyanogenMod, о выявлении следов взлома инфраструктуры проекта. Отмечается, что в 6 часов утра (MSK) 3 мая атакующему удалось получить доступ к основному серверу системы централизованного управления конфигурацией через эксплуатацию неисправленной уязвимости. В настоящий момент идёт разбор инцидента и подробности пока недоступны.
только, что атака не затронула ключи для формирования цифровых подписей, систему сборки и исходные тексты платформы — ключи на хостах, полностью отделённых от основной инфраструктуры, управляемой через SaltStack, а сборки были остановлены по техническим причинам 30 апреля. Судя по данным на странице разработчики уже восстановили сервер с системой рецензирования кода Gerrit, сайт и wiki. Отключёнными остаются сервер со сборками (builds.lineageos.org), портал для загрузки файлов (download.lineageos.org), почтовые серверы и система координации проброса на зеркала.
Атака стала возможна благодаря тому, что сетевой порт (4506) для доступа к SaltStack блокирован для внешних запросов межсетевым экраном — атакующему оставалось дождаться появления критической уязвимости в SaltStack и эксплуатаровать её до того, как администраторы установят обновление с исправлением. Всем пользователям SaltStack рекомендуется срочно обновить свои системы и проверить на наличие следов взлома.
Судя по всему, атаки через SaltStack не ограничилась взломом LineageOS и приняли массовый характер — в течение дня различные пользователи, которые не успели обновить SaltStack, выявление компрометации своих инфраструктур с размещением на серверах кода для майнинга или бэкдоров. В том числе об аналогичном взломе инфраструктуры системы управления контентом , который затронул сайты Ghost(Pro) и биллинг (утверждается, что номера кредитный карт не пострадали, но хэши паролей пользователей Ghost могли попасть в руки атакующих).
29 апреля были обновления платформы SaltStack и , в которых были устранены (сведения об уязвимостях были опубликованы 30 апреля), которым присвоен высший уровень опасности, так как они без прохождения аутентификации удалённое выполнение кода как на управляющем хосте (salt-master), так и всех управляемых через него серверах.
- Первая уязвимость () вызвана отсутствием должных проверок при вызове методов класса ClearFuncs в процессе salt-master. Уязвимость позволяет удалённому пользователю получить доступ к некоторым методам без аутентификации. В том числе через проблемные методы атакующий может получить токен для доступа с правами root к master-серверу и запустить любые команды на обслуживаемых хостах, на которых запущен демон . Патч с устранением данной уязвимости был 20 дней назад, но после его применения всплывали , приводящие к сбоям и нарушению синхронизации файлов.
- Вторая уязвимость () позволяет через манипуляции с классом ClearFuncs получить доступ к методам через передачу определённым образом оформленных путей, что может использоваться для полного доступа к произвольным каталогам в ФС mastеr-сервера с правами root, но требует наличия аутентифицированного доступа (подобный доступ можно получить при помощи первой уязвимости и использовать вторую уязвимость для полной компрометации всей инфраструктуры).
Источник: opennet.ru
