Mobiele platform ontwikkelaars , wat CyanogenMod vervang het, oor die identifisering van spore van inbraak van die projek-infrastruktuur. Daar word kennis geneem dat die aanvaller om 6:3 (MSK) op XNUMX Mei daarin geslaag het om toegang te verkry tot die hoofbediener van die gesentraliseerde konfigurasiebestuurstelsel deur uitbuiting van 'n onverwerkte kwesbaarheid. Die voorval word tans ontleed en besonderhede is nog nie beskikbaar nie.
net dat die aanval nie die sleutels vir die generering van digitale handtekeninge, die samestellingstelsel en die bronkode van die platform beïnvloed het nie - die sleutels op gashere heeltemal apart van die hoofinfrastruktuur wat deur SaltStack bestuur word, en bouwerk is om tegniese redes op 30 April gestaak. Te oordeel aan die inligting op die bladsy Die ontwikkelaars het reeds die bediener met die Gerrit-kode-oorsigstelsel, die webwerf en die wiki herstel. Die bediener met samestellings (builds.lineageos.org), die portaal vir die aflaai van lêers (download.lineageos.org), posbedieners en die stelsel vir die koördinering van aanstuur na spieëls bly gedeaktiveer.
Die aanval is moontlik gemaak as gevolg van die feit dat die netwerkpoort (4506) vir toegang tot SaltStack geblokkeer vir eksterne versoeke deur die firewall - die aanvaller moes wag vir 'n kritieke kwesbaarheid in SaltStack om te verskyn en dit uit te buit voordat administrateurs 'n opdatering met 'n oplossing geïnstalleer het. Alle SaltStack-gebruikers word aangeraai om hul stelsels dringend op te dateer en te kyk vir tekens van inbraak.
Klaarblyklik was aanvalle via SaltStack nie beperk tot die inbraak van LineageOS nie en het dit wydverspreid geword - gedurende die dag, verskeie gebruikers wat nie tyd gehad het om SaltStack op te dateer nie identifiseer die kompromie van hul infrastruktuur met die plasing van mynkode of agterdeure op bedieners. Insluitend oor 'n soortgelyke inbraak van die inhoudbestuurstelsel-infrastruktuur , wat Ghost(Pro)-webwerwe en fakturering geraak het (daar word beweer dat kredietkaartnommers nie geraak is nie, maar die wagwoord-hashes van Ghost-gebruikers kan in die hande van aanvallers val).
29 April was SaltStack-platformopdaterings и , waarin hulle uitgeskakel is (inligting oor die kwesbaarhede is op 30 April gepubliseer), wat die hoogste vlak van gevaar toegeken word, aangesien hulle sonder verifikasie is Afgeleë kode uitvoering op beide die beheergasheer (sout-meester) en op alle bedieners wat daardeur bestuur word.
- Eerste kwesbaarheid () word veroorsaak deur 'n gebrek aan behoorlike kontrole wanneer metodes van die ClearFuncs-klas in die soutmeester-proses aangeroep word. Die kwesbaarheid laat 'n afgeleë gebruiker toe om toegang tot sekere metodes te kry sonder verifikasie. Insluitend deur problematiese metodes, kan 'n aanvaller 'n teken kry vir toegang met wortelregte tot die hoofbediener en enige opdragte uitvoer op die bediende leërskare waarop die daemon loop . Die pleister wat hierdie kwesbaarheid uitskakel, was 20 dae gelede, maar nadat hulle dit gebruik het, het hulle opgeduik , wat lei tot mislukkings en ontwrigting van lêersinchronisasie.
- Tweede kwesbaarheid () laat toe, deur manipulasies met die ClearFuncs-klas, toegang te verkry tot metodes deur op 'n sekere manier geformateerde paaie deur te gee, wat gebruik kan word vir volle toegang tot arbitrêre gidse in die FS van die hoofbediener met wortelregte, maar vereis geverifieerde toegang ( sodanige toegang kan verkry word deur die eerste kwesbaarheid te gebruik en gebruik die tweede kwesbaarheid om die hele infrastruktuur heeltemal in gevaar te stel).
Bron: opennet.ru