اختراق البنية التحتية لنظام LineageOS من خلال ثغرة أمنية في SaltStack

مطورو منصات الهاتف المحمول LineageOS، الذي حل محل CyanogenMod، حذر حول التعرف على آثار اختراق البنية التحتية للمشروع. تجدر الإشارة إلى أنه في الساعة 6 صباحًا (بتوقيت جرينتش) يوم 3 مايو، تمكن المهاجم من الوصول إلى الخادم الرئيسي لنظام إدارة التكوين المركزي. SaltStack من خلال استغلال ثغرة أمنية لم يتم إصلاحها. ويجري حاليا تحليل الحادث ولم تتوفر تفاصيل بعد.

ذكرت فقط أن الهجوم لم يؤثر على مفاتيح إنشاء التوقيعات الرقمية ونظام التجميع والكود المصدر للمنصة - المفاتيح كانت موجودة على مضيفين منفصلين تمامًا عن البنية التحتية الرئيسية المُدارة من خلال SaltStack، وتم إيقاف الإنشاءات لأسباب فنية في 30 أبريل. اذا حكمنا من خلال المعلومات الموجودة على الصفحة Status.lineageos.org لقد قام المطورون بالفعل باستعادة الخادم باستخدام نظام مراجعة كود Gerrit والموقع الإلكتروني والويكي. يظل الخادم مع التجميعات (builds.lineageos.org)، وبوابة تنزيل الملفات (download.lineageos.org)، وخوادم البريد ونظام تنسيق إعادة التوجيه إلى المرايا معطلين.

أصبح الهجوم ممكنًا نظرًا لوجود منفذ الشبكة (4506) للوصول إلى SaltStack لم يكن تم حظره للطلبات الخارجية بواسطة جدار الحماية - كان على المهاجم انتظار ظهور ثغرة أمنية حرجة في SaltStack واستغلالها قبل أن يقوم المسؤولون بتثبيت تحديث مع إصلاح. يُنصح جميع مستخدمي SaltStack بتحديث أنظمتهم بشكل عاجل والتحقق من وجود علامات القرصنة.

على ما يبدو، لم تقتصر الهجمات عبر SaltStack على اختراق LineageOS وانتشرت على نطاق واسع - خلال النهار، العديد من المستخدمين الذين لم يكن لديهم الوقت لتحديث SaltStack علامة تحديد مدى اختراق بنيتهم ​​التحتية من خلال وضع كود التعدين أو الأبواب الخلفية على الخوادم. مشتمل сообщается حول اختراق مماثل للبنية التحتية لنظام إدارة المحتوى شبح، مما أثر على مواقع Ghost(Pro) والفواتير (يُزعم أن أرقام بطاقات الائتمان لم تتأثر، ولكن تجزئات كلمة المرور لمستخدمي Ghost يمكن أن تقع في أيدي المهاجمين).

29 أبريل كانت صدر تحديثات منصة SaltStack 3000.2 и 2019.2.4، حيث تم القضاء عليهم اثنين من نقاط الضعف (تم نشر المعلومات حول الثغرات الأمنية في 30 أبريل)، والتي تم تعيينها على أعلى مستوى من الخطورة، نظرًا لأنها بدون مصادقة السماح تنفيذ التعليمات البرمجية عن بعد على مضيف التحكم (salt-master) وعلى جميع الخوادم التي تتم إدارتها من خلاله.

• الضعف الأول (CVE-2020-11651) بسبب عدم وجود عمليات فحص مناسبة عند استدعاء أساليب فئة ClearFuncs في عملية الملح الرئيسية. تسمح الثغرة الأمنية للمستخدم البعيد بالوصول إلى طرق معينة دون المصادقة. بما في ذلك من خلال الأساليب الإشكالية، يمكن للمهاجم الحصول على رمز مميز للوصول بحقوق الجذر إلى الخادم الرئيسي وتشغيل أي أوامر على المضيفين المخدومين الذين يعمل عليهم البرنامج الخفي التوابع الملح. وكان التصحيح القضاء على هذه الثغرة الأمنية نشرت منذ 20 يومًا، ولكن بعد استخدامه ظهرت رجعي التغييراتمما يؤدي إلى فشل وتعطيل مزامنة الملفات.
• الثغرة الثانية (CVE-2020-11652) يسمح، من خلال المعالجة باستخدام فئة ClearFuncs، بالوصول إلى الأساليب عن طريق تمرير مسارات منسقة بطريقة معينة، والتي يمكن استخدامها للوصول الكامل إلى الدلائل التعسفية في FS للخادم الرئيسي مع حقوق الجذر، ولكنها تتطلب وصولاً مصادقًا ( يمكن الحصول على هذا الوصول باستخدام الثغرة الأمنية الأولى واستخدام الثغرة الثانية لتسوية البنية التحتية بالكامل).

المصدر: opennet.ru