Mobil platforma tərtibatçıları CyanogenMod-u əvəz edən , layihə infrastrukturunun sındırılmasının izlərinin müəyyən edilməsi haqqında. Qeyd olunur ki, mayın 6-də səhər saat 3-da (MSK) təcavüzkar mərkəzləşdirilmiş konfiqurasiya idarəetmə sisteminin əsas serverinə daxil ola bilib. yamaqsız zəifliyin istismarı vasitəsilə. Hazırda insident araşdırılır və təfərrüatlar hələlik məlum deyil.
yalnız hücum rəqəmsal imza yaratmaq üçün açarlara, montaj sisteminə və platformanın mənbə koduna - açarlara təsir etməmişdir. SaltStack vasitəsilə idarə olunan əsas infrastrukturdan tamamilə ayrı olan hostlarda və 30 aprel tarixində texniki səbəblərə görə tikinti dayandırıldı. Səhifədəki məlumatlara əsasən Tərtibatçılar artıq Gerrit kodu nəzərdən keçirmə sistemi, vebsayt və viki ilə serveri bərpa ediblər. Assambleyaları olan server (builds.lineageos.org), faylları yükləmək üçün portal (download.lineageos.org), poçt serverləri və güzgülərə yönləndirmənin əlaqələndirilməsi sistemi qeyri-aktiv olaraq qalır.
Hücum SaltStack-ə daxil olmaq üçün şəbəkə portunun (4506) olması sayəsində mümkün olub xarici sorğular üçün firewall tərəfindən bloklanıb - administratorlar düzəlişlə yeniləmə quraşdırmadan əvvəl təcavüzkar SaltStack-də kritik zəifliyin görünməsini gözləməli və ondan istifadə etməli idi. Bütün SaltStack istifadəçilərinə sistemlərini təcili olaraq yeniləmələri və sındırma əlamətlərini yoxlamaları tövsiyə olunur.
Göründüyü kimi, SaltStack vasitəsilə edilən hücumlar LineageOS-u sındırmaqla məhdudlaşmayıb və geniş yayılıb - gün ərzində SaltStack-i yeniləməyə vaxtı olmayan müxtəlif istifadəçilər serverlərdə mədən kodu və ya arxa qapıların yerləşdirilməsi ilə öz infrastrukturlarının kompromislərinin müəyyən edilməsi. O cümlədən məzmun idarəetmə sistemi infrastrukturunun oxşar sındırılması haqqında , Ghost(Pro) vebsaytlarına və fakturaya təsir etdi (kredit kartı nömrələrinin təsirlənmədiyi iddia edilir, lakin Ghost istifadəçilərinin parol heşləri təcavüzkarların əlinə keçə bilər).
29 aprel idi SaltStack platforması yeniləmələri и , onlar aradan qaldırıldı (zəifliklər haqqında məlumat aprelin 30-da dərc edilib), onlar autentifikasiya olunmadığı üçün ən yüksək təhlükə dərəcəsinə malikdirlər. həm idarəetmə hostunda (salt-master), həm də onun vasitəsilə idarə olunan bütün serverlərdə uzaqdan kod icrası.
- İlk zəiflik () duz-master prosesində ClearFuncs sinfinin metodlarını çağırarkən lazımi yoxlamaların olmaması ilə əlaqədardır. Zəiflik uzaq istifadəçiyə autentifikasiya olmadan müəyyən metodlara daxil olmağa imkan verir. Problemli üsullar da daxil olmaqla, təcavüzkar master serverə kök hüquqları ilə daxil olmaq üçün işarə əldə edə və demonun işlədiyi xidmət edilən hostlarda istənilən əmrləri işlədə bilər. . Bu zəifliyi aradan qaldıran yamaq idi 20 gün əvvəl, amma istifadə etdikdən sonra ortaya çıxdı , uğursuzluqlara və fayl sinxronizasiyasının pozulmasına səbəb olur.
- İkinci zəiflik () ClearFuncs sinfi ilə manipulyasiyalar vasitəsilə, kök hüquqları ilə master serverin FS-də ixtiyari qovluqlara tam daxil olmaq üçün istifadə edilə bilən, lakin autentifikasiya edilmiş giriş tələb edən formatlanmış yolları müəyyən şəkildə keçərək metodlara giriş əldə etməyə imkan verir belə giriş birinci zəiflikdən istifadə etməklə əldə edilə bilər və bütün infrastrukturu tamamilə pozmaq üçün ikinci zəiflikdən istifadə etməklə).
Mənbə: opennet.ru