Разработчици на мобилни платформи , който замени CyanogenMod, за идентифициране на следи от хакване на инфраструктурата на проекта. Отбелязва се, че в 6 часа сутринта (MSK) на 3 май нападателят успя да получи достъп до главния сървър на централизираната система за управление на конфигурацията чрез използване на непоправена уязвимост. Инцидентът в момента се анализира и все още няма подробности.
само че атаката не е засегнала ключовете за генериране на цифрови подписи, системата за асемблиране и изходния код на платформата - ключовете на хостове, напълно отделени от основната инфраструктура, управлявана чрез SaltStack, и компилациите бяха спрени по технически причини на 30 април. Съдейки по информацията на страницата Разработчиците вече са възстановили сървъра със системата за преглед на кода Gerrit, уебсайта и уикито. Сървърът със сборки (builds.lineageos.org), порталът за изтегляне на файлове (download.lineageos.org), пощенските сървъри и системата за координиране на препращането към огледала остават деактивирани.
Атаката стана възможна поради факта, че мрежовият порт (4506) за достъп до SaltStack блокиран за външни заявки от защитната стена - нападателят трябваше да изчака да се появи критична уязвимост в SaltStack и да я използва, преди администраторите да инсталират актуализация с корекция. Всички потребители на SaltStack се съветват спешно да актуализират своите системи и да проверят за признаци на хакване.
Очевидно атаките чрез SaltStack не се ограничават до хакване на LineageOS и стават широко разпространени - през деня различни потребители, които не са имали време да актуализират SaltStack идентифициране на компрометирането на техните инфраструктури с поставянето на код за копаене или задни врати на сървъри. Включително за подобно хакване на инфраструктурата на системата за управление на съдържанието , което засегна уебсайтовете на Ghost(Pro) и таксуването (твърди се, че номерата на кредитните карти не са били засегнати, но хешовете на паролите на потребителите на Ghost можеха да попаднат в ръцете на нападателите).
29 април бяха Актуализации на платформата SaltStack и , в който бяха елиминирани (информация за уязвимостите е публикувана на 30 април), на които е присвоено най-високото ниво на опасност, тъй като те са без удостоверяване отдалечено изпълнение на код както на контролния хост (salt-master), така и на всички управлявани чрез него сървъри.
- Първа уязвимост () се причинява от липса на правилни проверки при извикване на методи от класа ClearFuncs в процеса сол-мастер. Уязвимостта позволява на отдалечен потребител достъп до определени методи без удостоверяване. Включително чрез проблемни методи, атакуващият може да получи токен за достъп с root права до главния сървър и да изпълни всякакви команди на обслужваните хостове, на които работи демонът . Пачът, премахващ тази уязвимост, беше Преди 20 дни, но след употреба изплуваха , което води до повреди и прекъсване на синхронизацията на файловете.
- Втора уязвимост () позволява чрез манипулации с класа ClearFuncs да се получи достъп до методи чрез предаване по определен начин на форматирани пътища, които могат да се използват за пълен достъп до произволни директории във FS на главния сървър с root права, но изисква удостоверен достъп ( такъв достъп може да бъде получен с помощта на първата уязвимост и използването на втората уязвимост за пълно компрометиране на цялата инфраструктура).
Източник: opennet.ru