Προγραμματιστές πλατφορμών για κινητά , το οποίο αντικατέστησε το CyanogenMod, σχετικά με τον εντοπισμό ιχνών παραβίασης της υποδομής του έργου. Σημειώνεται ότι στις 6 π.μ. (MSK) στις 3 Μαΐου, ο εισβολέας κατάφερε να αποκτήσει πρόσβαση στον κύριο διακομιστή του κεντρικού συστήματος διαχείρισης διαμόρφωσης μέσω της εκμετάλλευσης μιας μη επιδιορθωμένης ευπάθειας. Αυτή τη στιγμή το περιστατικό αναλύεται και δεν υπάρχουν ακόμη λεπτομέρειες.
μόνο ότι η επίθεση δεν επηρέασε τα κλειδιά για τη δημιουργία ψηφιακών υπογραφών, το σύστημα συναρμολόγησης και τον πηγαίο κώδικα της πλατφόρμας - τα κλειδιά σε οικοδεσπότες εντελώς ξεχωριστούς από την κύρια υποδομή που διαχειρίζεται μέσω του SaltStack και οι εκδόσεις διακόπηκαν για τεχνικούς λόγους στις 30 Απριλίου. Κρίνοντας από τις πληροφορίες της σελίδας Οι προγραμματιστές έχουν ήδη αποκαταστήσει τον διακομιστή με το σύστημα ελέγχου κώδικα Gerrit, τον ιστότοπο και το wiki. Ο διακομιστής με συγκροτήματα (builds.lineageos.org), η πύλη για τη λήψη αρχείων (download.lineageos.org), οι διακομιστές αλληλογραφίας και το σύστημα συντονισμού της προώθησης σε καθρέφτες παραμένουν απενεργοποιημένα.
Η επίθεση κατέστη δυνατή λόγω του γεγονότος ότι η θύρα δικτύου (4506) για πρόσβαση στο SaltStack αποκλειστεί για εξωτερικά αιτήματα από το τείχος προστασίας - ο εισβολέας έπρεπε να περιμένει να εμφανιστεί μια κρίσιμη ευπάθεια στο SaltStack και να την εκμεταλλευτεί προτού οι διαχειριστές εγκαταστήσουν μια ενημέρωση με μια επιδιόρθωση. Συνιστάται σε όλους τους χρήστες του SaltStack να ενημερώσουν επειγόντως τα συστήματά τους και να ελέγξουν για σημάδια εισβολής.
Προφανώς, οι επιθέσεις μέσω SaltStack δεν περιορίστηκαν στο hacking LineageOS και έγιναν ευρέως διαδεδομένες - κατά τη διάρκεια της ημέρας, διάφοροι χρήστες που δεν είχαν χρόνο να ενημερώσουν το SaltStack εντοπισμός του συμβιβασμού των υποδομών τους με την τοποθέτηση κώδικα εξόρυξης ή backdoors σε διακομιστές. Συμπεριλαμβανομένου σχετικά με μια παρόμοια παραβίαση της υποδομής του συστήματος διαχείρισης περιεχομένου , το οποίο επηρέασε τους ιστότοπους και τις χρεώσεις Ghost(Pro) (υποστηρίζεται ότι δεν επηρεάστηκαν οι αριθμοί πιστωτικών καρτών, αλλά οι κατακερματισμοί κωδικών πρόσβασης των χρηστών Ghost θα μπορούσαν να πέσουν στα χέρια των εισβολέων).
29 Απριλίου ήταν Ενημερώσεις πλατφόρμας SaltStack и , στο οποίο αποβλήθηκαν (πληροφορίες για τα τρωτά σημεία δημοσιεύθηκαν στις 30 Απριλίου), στα οποία αποδίδεται το υψηλότερο επίπεδο κινδύνου, καθώς είναι χωρίς έλεγχο ταυτότητας απομακρυσμένη εκτέλεση κώδικα τόσο στον κεντρικό υπολογιστή ελέγχου (salt-master) όσο και σε όλους τους διακομιστές που διαχειρίζονται μέσω αυτού.
- Πρώτη ευπάθεια () προκαλείται από έλλειψη κατάλληλων ελέγχων κατά την κλήση μεθόδων της κλάσης ClearFuncs στη διεργασία salt-master. Η ευπάθεια επιτρέπει σε έναν απομακρυσμένο χρήστη να έχει πρόσβαση σε ορισμένες μεθόδους χωρίς έλεγχο ταυτότητας. Συμπεριλαμβανομένων των προβληματικών μεθόδων, ένας εισβολέας μπορεί να αποκτήσει ένα διακριτικό για πρόσβαση με δικαιώματα root στον κύριο διακομιστή και να εκτελέσει οποιεσδήποτε εντολές στους εξυπηρετούμενους κεντρικούς υπολογιστές στους οποίους εκτελείται ο δαίμονας . Η ενημέρωση κώδικα που εξαλείφει αυτήν την ευπάθεια ήταν Πριν από 20 ημέρες, αλλά μετά τη χρήση του βγήκαν στην επιφάνεια , οδηγώντας σε αποτυχίες και διακοπή του συγχρονισμού αρχείων.
- Δεύτερη ευπάθεια () επιτρέπει, μέσω χειρισμών με την κλάση ClearFuncs, να αποκτήσετε πρόσβαση σε μεθόδους περνώντας με έναν συγκεκριμένο τρόπο διαμορφωμένες διαδρομές, οι οποίες μπορούν να χρησιμοποιηθούν για πλήρη πρόσβαση σε αυθαίρετους καταλόγους στο FS του κύριου διακομιστή με δικαιώματα ρίζας, αλλά απαιτεί έλεγχο ταυτότητας ( μια τέτοια πρόσβαση μπορεί να επιτευχθεί χρησιμοποιώντας την πρώτη ευπάθεια και να χρησιμοποιηθεί η δεύτερη ευπάθεια για να θέσει σε πλήρη κίνδυνο ολόκληρη την υποδομή).
Πηγή: opennet.ru