Распрацоўнікі мабільнай платформы , які прыйшоў на змену CyanogenMod, аб выяўленні слядоў узлому інфраструктуры праекта. Адзначаецца, што ў 6 гадзін раніцы (MSK) 3 траўня атакаваламу атрымалася атрымаць доступ да асноўнага сервера сістэмы цэнтралізаванага кіравання канфігурацыяй. праз эксплуатацыю невыпраўленай уразлівасці. У сапраўдны момант ідзе разбор інцыдэнту і падрабязнасці пакуль недаступныя.
толькі, што атака не закранула ключы для фарміравання лічбавых подпісаў, сістэму зборкі і зыходныя тэксты платформы - ключы на хастах, цалкам аддзеленых ад асноўнай інфраструктуры, якая кіруецца праз SaltStack, а зборкі былі спыненыя па тэхнічных прычынах 30 красавіка. Мяркуючы па дадзеных на старонцы распрацоўшчыкі ўжо аднавілі сервер з сістэмай рэцэнзавання кода Gerrit, сайт і wiki. Адключанымі застаюцца сервер са зборкамі (builds.lineageos.org), партал для загрузкі файлаў (download.lineageos.org), паштовыя серверы і сістэма каардынацыі пракіду на люстэркі.
Атака стала магчымая дзякуючы таму, што сеткавы порт (4506) для доступу да SaltStack блакіраваны для знешніх запытаў міжсеткавым экранам – атакаваламу заставалася дачакацца з'яўлення крытычнай уразлівасці ў SaltStack і эксплуатаваць яе да таго, як адміністратары ўсталююць абнаўленне з выпраўленнем. Усім карыстальнікам SaltStack рэкамендуецца тэрмінова абнавіць свае сістэмы і праверыць на наяўнасць слядоў узлому.
Судзячы па ўсім, напады праз SaltStack не абмежавалася ўзломам LineageOS і прынялі масавы характар - на працягу дня розныя карыстачы, якія не паспелі абнавіць SaltStack, выяўленне кампраметацыі сваіх інфраструктур з размяшчэннем на серверах кода для майнінгу або бэкдораў. У тым ліку аб аналагічным узломе інфраструктуры сістэмы кіравання кантэнтам , які закрануў сайты Ghost(Pro) і білінг (сцвярджаецца, што нумары крэдытных карт не пацярпелі, але хэшы пароляў карыстальнікаў Ghost маглі патрапіць у рукі атакавалых).
29 красавіка былі абнаўлення платформы SaltStack и , у якіх былі ліквідаваны (звесткі аб уразлівасцях былі апублікаваны 30 красавіка), якім прысвоены вышэйшы ўзровень небяспекі, бо яны без праходжання аўтэнтыфікацыі выдаленае выкананне кода як на кіравальным хасце (salt-master), так і ўсіх кіраваных праз яго серверах.
- Першая ўразлівасць () выклікана адсутнасцю належных праверак пры выкліку метадаў класа ClearFuncs падчас salt-master. Уразлівасць дазваляе выдаленаму карыстачу атрымаць доступ да некаторых метадаў без аўтэнтыфікацыі. У тым ліку праз праблемныя метады атакавалы можа атрымаць токен для доступу з правамі root да master-серверу і запусціць любыя каманды на абслугоўваных хастах, на якіх запушчаны дэман. . Патч з ухіленнем дадзенай уразлівасці быў 20 дзён таму, але пасля яго прымянення ўсплывалі , якія прыводзяць да збояў і парушэння сінхранізацыі файлаў.
- Другая ўразлівасць () дазваляе праз маніпуляцыі з класам ClearFuncs атрымаць доступ да метадаў праз перадачу вызначанай выявай аформленых шляхоў, што можа выкарыстоўвацца для поўнага доступу да адвольных каталогаў у ФС mastеr-сервера з правамі root, але патрабуе наяўнасці аўтэнтыфікаванага доступу (падобны доступ можна атрымаць пры дапамозе першай уразлівасці і выкарыстоўваць другую ўразлівасць для поўнай кампраметацыі ўсёй інфраструктуры).
Крыніца: opennet.ru