Programeri mobilnih platformi , koji je zamijenio CyanogenMod, o identifikaciji tragova hakovanja projektne infrastrukture. Napominje se da je u 6 sati ujutro (MSK) 3. maja napadač uspio pristupiti glavnom serveru centraliziranog sistema za upravljanje konfiguracijom. kroz iskorištavanje nezakrpljene ranjivosti. Incident se trenutno analizira i detalji još nisu dostupni.
samo da napad nije uticao na ključeve za generisanje digitalnih potpisa, sistem za sklapanje i izvorni kod platforme - ključeve na hostovima potpuno odvojenim od glavne infrastrukture kojom se upravlja preko SaltStack-a, a izgradnja je zaustavljena iz tehničkih razloga 30. aprila. Sudeći po informacijama na stranici Programeri su već obnovili server sa Gerrit sistemom za pregled koda, web stranicu i wiki. Server sa sklopovima (builds.lineageos.org), portal za preuzimanje fajlova (download.lineageos.org), mail serveri i sistem za koordinaciju prosleđivanja na ogledala ostaju onemogućeni.
Napad je omogućen zbog činjenice da je mrežni port (4506) za pristup SaltStacku blokiran za vanjske zahtjeve od strane firewall-a - napadač je morao čekati da se pojavi kritična ranjivost u SaltStack-u i iskoristiti je prije nego što administratori instaliraju ažuriranje sa ispravkom. Svim korisnicima SaltStacka se savjetuje da hitno ažuriraju svoje sisteme i provjere znakove hakovanja.
Očigledno, napadi preko SaltStacka nisu bili ograničeni na hakovanje LineageOS-a i postali su široko rasprostranjeni - tokom dana su razni korisnici koji nisu imali vremena ažurirati SaltStack identifikovanje kompromitovanja njihove infrastrukture postavljanjem koda za rudarenje ili backdoor-a na servere. Uključujući o sličnom hakovanju infrastrukture sistema za upravljanje sadržajem , što je uticalo na Ghost(Pro) web stranice i naplatu (tvrdi se da to nije utjecalo na brojeve kreditnih kartica, ali bi hešovi lozinki Ghost korisnika mogli pasti u ruke napadača).
29. aprila su bili Ažuriranja SaltStack platforme и , u kojoj su eliminisani (informacija o ranjivosti objavljena je 30. aprila), kojima je pripisan najviši stepen opasnosti, jer su bez autentifikacije daljinsko izvršavanje koda kako na kontrolnom hostu (salt-master) tako i na svim serverima kojima se upravlja preko njega.
- Prva ranjivost () je uzrokovano nedostatkom odgovarajućih provjera prilikom pozivanja metoda klase ClearFuncs u procesu salt-master. Ranjivost omogućava udaljenom korisniku pristup određenim metodama bez provjere autentičnosti. Uključujući i problematične metode, napadač može dobiti token za pristup s root pravima glavnom serveru i pokrenuti sve komande na opsluživanim hostovima na kojima demon radi . Zakrpa koja eliminiše ovu ranjivost je bila Prije 20 dana, ali nakon korištenja isplivale su na površinu , što dovodi do kvarova i prekida sinhronizacije datoteka.
- Druga ranjivost () omogućava, kroz manipulacije sa ClearFuncs klasom, pristup metodama propuštanjem na određeni način formatiranih staza, koje se mogu koristiti za potpuni pristup proizvoljnim direktorijumima u FS-u glavnog servera sa root pravima, ali zahtijeva autentificirani pristup ( takav pristup se može dobiti korištenjem prve ranjivosti i koristiti drugu ranjivost za potpuno kompromitiranje cjelokupne infrastrukture).
izvor: opennet.ru