Entwickler mobiler Plattformen , das CyanogenMod ersetzte, über die Identifizierung von Spuren von Hackerangriffen auf die Projektinfrastruktur. Es wird darauf hingewiesen, dass es dem Angreifer am 6. Mai um 3 Uhr morgens (MSK) gelang, Zugriff auf den Hauptserver des zentralisierten Konfigurationsverwaltungssystems zu erhalten durch Ausnutzung einer ungepatchten Schwachstelle. Der Vorfall wird derzeit analysiert und Einzelheiten liegen noch nicht vor.
lediglich, dass der Angriff keine Auswirkungen auf die Schlüssel zur Generierung digitaler Signaturen, das Assemblersystem und den Quellcode der Plattform – die Schlüssel – hatte auf Hosts, die vollständig von der über SaltStack verwalteten Hauptinfrastruktur getrennt sind, und Builds wurden am 30. April aus technischen Gründen gestoppt. Den Informationen auf der Seite nach zu urteilen Die Entwickler haben den Server mit dem Gerrit-Code-Review-System, der Website und dem Wiki bereits wiederhergestellt. Der Server mit Assemblys (builds.lineageos.org), das Portal zum Herunterladen von Dateien (download.lineageos.org), Mailserver und das System zur Koordinierung der Weiterleitung an Spiegel bleiben deaktiviert.
Der Angriff wurde dadurch ermöglicht, dass der Netzwerkport (4506) für den Zugriff auf SaltStack von der Firewall für externe Anfragen blockiert – der Angreifer musste warten, bis eine kritische Schwachstelle in SaltStack auftauchte und diese ausnutzte, bevor Administratoren ein Update mit einem Fix installierten. Allen SaltStack-Benutzern wird empfohlen, ihre Systeme dringend zu aktualisieren und auf Anzeichen von Hackerangriffen zu prüfen.
Anscheinend beschränkten sich Angriffe über SaltStack nicht nur auf das Hacken von LineageOS und verbreiteten sich – im Laufe des Tages hatten mehrere Benutzer keine Zeit, SaltStack zu aktualisieren Sie identifizieren die Gefährdung ihrer Infrastruktur durch die Platzierung von Mining-Code oder Hintertüren auf Servern. Einschließlich über einen ähnlichen Hackerangriff auf die Infrastruktur des Content-Management-Systems , was Auswirkungen auf die Websites und die Abrechnung von Ghost(Pro) hatte (es wird behauptet, dass Kreditkartennummern nicht betroffen waren, die Passwort-Hashes von Ghost-Benutzern jedoch in die Hände von Angreifern gelangen könnten).
29. April waren Aktualisierungen der SaltStack-Plattform и , in dem sie eliminiert wurden (Informationen zu den Schwachstellen wurden am 30. April veröffentlicht), denen die höchste Gefahrenstufe zugeordnet wird, da sie ohne Authentifizierung sind Remote-Codeausführung sowohl auf dem Steuerhost (Salt-Master) als auch auf allen darüber verwalteten Servern.
- Erste Schwachstelle () wird durch fehlende ordnungsgemäße Prüfungen beim Aufruf von Methoden der ClearFuncs-Klasse im Salt-Master-Prozess verursacht. Die Sicherheitslücke ermöglicht es einem Remote-Benutzer, ohne Authentifizierung auf bestimmte Methoden zuzugreifen. Auch mit problematischen Methoden kann ein Angreifer ein Token für den Zugriff mit Root-Rechten auf den Master-Server erhalten und beliebige Befehle auf den bedienten Hosts ausführen, auf denen der Daemon läuft . Der Patch zur Beseitigung dieser Schwachstelle war Vor 20 Tagen, aber nachdem sie es benutzt hatten, tauchten sie auf , was zu Fehlern und Unterbrechungen der Dateisynchronisierung führt.
- Zweite Schwachstelle () ermöglicht durch Manipulationen mit der Klasse ClearFuncs den Zugriff auf Methoden durch die Übergabe von auf bestimmte Weise formatierten Pfaden, die für den vollständigen Zugriff auf beliebige Verzeichnisse im FS des Masterservers mit Root-Rechten verwendet werden können, jedoch einen authentifizierten Zugriff erfordern ( Ein solcher Zugriff kann über die erste Schwachstelle erlangt werden und die zweite Schwachstelle kann dazu genutzt werden, die gesamte Infrastruktur vollständig zu kompromittieren.
Source: opennet.ru