Desenvolupadors de plataformes mòbils , que va substituir CyanogenMod, sobre la identificació de rastres de pirateria de la infraestructura del projecte. Cal assenyalar que a les 6 a.m. (MSK) del 3 de maig, l'atacant va aconseguir accedir al servidor principal del sistema de gestió de la configuració centralitzada. mitjançant l'explotació d'una vulnerabilitat sense pegat. Actualment s'està analitzant l'incident i encara no se'n coneixen els detalls.
només que l'atac no va afectar les claus per generar signatures digitals, el sistema de muntatge i el codi font de la plataforma: les claus en amfitrions completament separats de la infraestructura principal gestionada mitjançant SaltStack, i les compilacions es van aturar per motius tècnics el 30 d'abril. A jutjar per la informació de la pàgina Els desenvolupadors ja han restaurat el servidor amb el sistema de revisió de codis Gerrit, el lloc web i la wiki. El servidor amb assemblatges (builds.lineageos.org), el portal de descàrrega d'arxius (download.lineageos.org), els servidors de correu i el sistema de coordinació del reenviament a rèpliques romanen desactivats.
L'atac va ser possible gràcies al fet que el port de xarxa (4506) per accedir a SaltStack bloquejat per a sol·licituds externes pel tallafoc: l'atacant va haver d'esperar que aparegués una vulnerabilitat crítica a SaltStack i explotar-la abans que els administradors instal·lessin una actualització amb una solució. S'aconsella a tots els usuaris de SaltStack que actualitzin urgentment els seus sistemes i comproveu si hi ha signes de pirateria.
Pel que sembla, els atacs a través de SaltStack no es van limitar a piratejar LineageOS i es van generalitzar: durant el dia, diversos usuaris que no van tenir temps d'actualitzar SaltStack identificant el compromís de les seves infraestructures amb la col·locació de codi miner o backdoors als servidors. Incloent sobre una pirateria similar de la infraestructura del sistema de gestió de continguts , que va afectar els llocs web i la facturació de Ghost(Pro) (s'afirma que els números de targeta de crèdit no es van veure afectats, però els hash de contrasenyes dels usuaris de Ghost podrien caure en mans dels atacants).
El 29 d'abril van ser Actualitzacions de la plataforma SaltStack и , en què van ser eliminats (la informació sobre les vulnerabilitats es va publicar el 30 d'abril), a les quals se'ls assigna el nivell de perill més alt, ja que estan sense autenticació execució de codi remota tant a l'amfitrió de control (salt-master) com a tots els servidors gestionats a través d'aquest.
- Primera vulnerabilitat () és causada per la manca de comprovacions adequades en cridar mètodes de la classe ClearFuncs en el procés salt-master. La vulnerabilitat permet a un usuari remot accedir a determinats mètodes sense autenticació. Inclòs mitjançant mètodes problemàtics, un atacant pot obtenir un testimoni per accedir amb drets d'arrel al servidor mestre i executar qualsevol ordre als amfitrions servits en què s'executa el dimoni. . El pedaç que elimina aquesta vulnerabilitat va ser Fa 20 dies, però després d'utilitzar-lo van aparèixer , provocant errors i interrupcions de la sincronització de fitxers.
- Segona vulnerabilitat () permet, mitjançant manipulacions amb la classe ClearFuncs, accedir als mètodes passant d'una determinada manera camins formatats, que es poden utilitzar per a l'accés complet a directoris arbitraris al FS del servidor mestre amb drets d'arrel, però requereix un accés autenticat ( aquest accés es pot obtenir utilitzant la primera vulnerabilitat i utilitzar la segona vulnerabilitat per comprometre completament tota la infraestructura).
Font: opennet.ru