Desarrolladores de plataformas móviles , que reemplazó a CyanogenMod, sobre la identificación de rastros de piratería de la infraestructura del proyecto. Cabe señalar que a las 6 a.m. (MSK) del 3 de mayo, el atacante logró acceder al servidor principal del sistema de gestión de configuración centralizado. mediante la explotación de una vulnerabilidad sin parchear. El incidente se encuentra actualmente siendo analizado y los detalles aún no están disponibles.
solo que el ataque no afectó las claves para generar firmas digitales, el sistema de ensamblaje y el código fuente de la plataforma: las claves en hosts completamente separados de la infraestructura principal administrada a través de SaltStack, y las compilaciones se detuvieron por razones técnicas el 30 de abril. A juzgar por la información de la página. Los desarrolladores ya restauraron el servidor con el sistema de revisión de código Gerrit, el sitio web y la wiki. El servidor con ensamblados (builds.lineageos.org), el portal de descarga de archivos (download.lineageos.org), los servidores de correo y el sistema de coordinación de reenvío a mirrors permanecen deshabilitados.
El ataque fue posible debido al hecho de que el puerto de red (4506) para acceder a SaltStack bloqueado para solicitudes externas por el firewall: el atacante tuvo que esperar a que apareciera una vulnerabilidad crítica en SaltStack y explotarla antes de que los administradores instalaran una actualización con una solución. Se recomienda a todos los usuarios de SaltStack que actualicen urgentemente sus sistemas y comprueben si hay signos de piratería.
Aparentemente, los ataques a través de SaltStack no se limitaron a piratear LineageOS y se generalizaron: durante el día, varios usuarios que no tuvieron tiempo de actualizar SaltStack identificando el compromiso de sus infraestructuras con la colocación de código de minería o puertas traseras en los servidores. Incluido sobre un hackeo similar de la infraestructura del sistema de gestión de contenidos , que afectó a los sitios web y la facturación de Ghost(Pro) (se afirma que los números de tarjetas de crédito no se vieron afectados, pero los hashes de contraseñas de los usuarios de Ghost podrían caer en manos de atacantes).
el 29 de abril fueron Actualizaciones de la plataforma SaltStack и , en el que fueron eliminados (la información sobre las vulnerabilidades se publicó el 30 de abril), a las que se les asigna el nivel más alto de peligro, ya que no cuentan con autenticación ejecución remota de código tanto en el host de control (salt-master) como en todos los servidores gestionados a través del mismo.
- Primera vulnerabilidad () se debe a la falta de comprobaciones adecuadas al llamar a métodos de la clase ClearFuncs en el proceso salt-master. La vulnerabilidad permite que un usuario remoto acceda a ciertos métodos sin autenticación. Incluso a través de métodos problemáticos, un atacante puede obtener un token para acceder con derechos de root al servidor maestro y ejecutar cualquier comando en los hosts servidos en los que se ejecuta el demonio. . El parche que elimina esta vulnerabilidad fue Hace 20 días, pero después de usarlo salieron a la superficie. , lo que provoca fallos e interrupciones en la sincronización de archivos.
- Segunda vulnerabilidad () permite, mediante manipulaciones con la clase ClearFuncs, obtener acceso a métodos pasando de cierta manera rutas formateadas, que pueden usarse para acceso completo a directorios arbitrarios en el FS del servidor maestro con derechos de root, pero requiere acceso autenticado ( dicho acceso se puede obtener utilizando la primera vulnerabilidad y utilizar la segunda vulnerabilidad para comprometer completamente toda la infraestructura).
Fuente: opennet.ru