Vývojáři mobilních platforem , který nahradil CyanogenMod, o identifikaci stop po hackování infrastruktury projektu. Je třeba poznamenat, že v 6:3 (MSK) XNUMX. května se útočníkovi podařilo získat přístup k hlavnímu serveru systému centralizované správy konfigurace prostřednictvím využití neopravené zranitelnosti. Incident se v současné době analyzuje a podrobnosti zatím nejsou k dispozici.
pouze to, že útok neovlivnil klíče pro generování digitálních podpisů, systém sestavení a zdrojový kód platformy – klíče na hostitelích zcela oddělených od hlavní infrastruktury spravované přes SaltStack a sestavení byla z technických důvodů zastavena 30. dubna. Soudě podle informací na stránce Vývojáři již obnovili server se systémem kontroly kódu Gerrit, webovou stránku a wiki. Server se sestavami (builds.lineageos.org), portál pro stahování souborů (download.lineageos.org), poštovní servery a systém pro koordinaci předávání do mirrorů zůstávají vypnuty.
Útok byl umožněn díky tomu, že síťový port (4506) pro přístup k SaltStack blokován pro externí požadavky firewallem – útočník musel počkat, až se objeví kritická zranitelnost v SaltStack a zneužít ji, než administrátoři nainstalují aktualizaci s opravou. Všem uživatelům SaltStack se doporučuje, aby urychleně aktualizovali své systémy a zkontrolovali známky hackování.
Útoky přes SaltStack se zjevně neomezovaly pouze na hackování LineageOS a rozšířily se – během dne různí uživatelé, kteří nestihli SaltStack aktualizovat identifikace kompromitace jejich infrastruktur s umístěním těžebního kódu nebo zadních vrátek na servery. Počítaje v to o podobném hacknutí infrastruktury redakčního systému , která ovlivnila weby a fakturaci Ghost(Pro) (tvrdí se, že čísla kreditních karet ovlivněna nebyla, ale hash hesel uživatelů Ghost by se mohl dostat do rukou útočníků).
29. dubna byly Aktualizace platformy SaltStack и , ve kterém byli vyřazeni (informace o zranitelnostech byla zveřejněna 30. dubna), kterým je přiřazen nejvyšší stupeň nebezpečnosti, protože jsou bez ověření vzdálené spouštění kódu jak na řídicím hostiteli (salt-master), tak na všech serverech, které jsou jeho prostřednictvím spravovány.
- První zranitelnost () je způsobeno nedostatkem řádných kontrol při volání metod třídy ClearFuncs v procesu salt-master. Tato chyba zabezpečení umožňuje vzdálenému uživateli přístup k určitým metodám bez ověření. Včetně problematických metod může útočník získat token pro přístup s právy root k hlavnímu serveru a spustit libovolné příkazy na obsluhovaných hostitelích, na kterých démon běží. . Patch eliminující tuto chybu zabezpečení byl Před 20 dny, ale po použití se objevily , což vede k poruchám a narušení synchronizace souborů.
- Druhá zranitelnost () umožňuje prostřednictvím manipulací s třídou ClearFuncs získat přístup k metodám předáním určitým způsobem formátovaných cest, které lze použít pro plný přístup k libovolným adresářům ve FS hlavního serveru s právy root, ale vyžadují autentizovaný přístup ( takový přístup lze získat pomocí první zranitelnosti a pomocí druhé zranitelnosti zcela kompromitovat celou infrastrukturu).
Zdroj: opennet.ru