Mobile platform udviklere , som erstattede CyanogenMod, om at identificere spor efter hacking af projektets infrastruktur. Det bemærkes, at det kl. 6 (MSK) den 3. maj lykkedes for angriberen at få adgang til hovedserveren i det centraliserede konfigurationsstyringssystem gennem udnyttelse af en uoprettet sårbarhed. Hændelsen er i øjeblikket ved at blive analyseret, og detaljer er endnu ikke tilgængelige.
kun at angrebet ikke påvirkede nøglerne til generering af digitale signaturer, assemblersystemet og platformens kildekode - nøglerne på værter, der er fuldstændig adskilt fra den primære infrastruktur, der styres gennem SaltStack, og builds blev stoppet af tekniske årsager den 30. april. At dømme efter informationen på siden Udviklerne har allerede gendannet serveren med Gerrit-kodegennemgangssystemet, hjemmesiden og wikien. Serveren med samlinger (builds.lineageos.org), portalen til download af filer (download.lineageos.org), mailservere og systemet til koordinering af videresendelse til spejle forbliver deaktiveret.
Angrebet blev gjort muligt på grund af det faktum, at netværksporten (4506) for at få adgang til SaltStack blokeret for eksterne anmodninger af firewallen - angriberen måtte vente på, at en kritisk sårbarhed i SaltStack dukkede op og udnytte den, før administratorer installerede opdateringen med rettelsen. Alle SaltStack-brugere rådes til hurtigst muligt at opdatere deres systemer og tjekke for tegn på hacking.
Tilsyneladende var angreb via SaltStack ikke begrænset til at hacke LineageOS og blev udbredt - i løbet af dagen, forskellige brugere, der ikke havde tid til at opdatere SaltStack identificere kompromitteringen af deres infrastrukturer med placering af minekode eller bagdøre på servere. Inklusive om et lignende hacking af indholdsstyringssystemets infrastruktur , som påvirkede Ghost(Pro)-websteder og fakturering (det hævdes, at kreditkortnumre ikke blev påvirket, men Ghost-brugeres adgangskode-hash kan falde i hænderne på angribere).
29. april var SaltStack platform opdateringer и , hvor de blev elimineret (information om sårbarhederne blev offentliggjort den 30. april), som er tildelt det højeste fareniveau, da de er uden autentificering fjernudførelse af kode både på kontrolværten (salt-master) og på alle servere, der styres gennem den.
- Første sårbarhed () er forårsaget af mangel på korrekt kontrol, når man kalder metoder i ClearFuncs-klassen i salt-master-processen. Sårbarheden tillader en fjernbruger at få adgang til visse metoder uden godkendelse. Herunder gennem problematiske metoder kan en angriber få et token for adgang med root-rettigheder til masterserveren og køre alle kommandoer på de serverede værter, som dæmonen kører på . Patchen, der eliminerede denne sårbarhed, var 20 dage siden, men efter at have brugt det dukkede de op , hvilket fører til fejl og afbrydelse af filsynkronisering.
- Anden sårbarhed () tillader, gennem manipulationer med ClearFuncs-klassen, at få adgang til metoder ved at videregive på en bestemt måde formaterede stier, som kan bruges til fuld adgang til vilkårlige mapper i FS på masterserveren med root-rettigheder, men kræver autentificeret adgang ( sådan adgang kan opnås ved at bruge den første sårbarhed og bruge den anden sårbarhed til fuldstændig at kompromittere hele infrastrukturen).
Kilde: opennet.ru