Mobiiliplatvormide arendajad , mis asendas CyanogenModi, projekti infrastruktuuri häkkimise jälgede tuvastamise kohta. Märgitakse, et 6. mail kell 3 hommikul (MSK) õnnestus ründajal pääseda ligi tsentraliseeritud konfiguratsioonihaldussüsteemi põhiserverisse. parandamata haavatavuse ärakasutamise kaudu. Juhtumit analüüsitakse praegu ja üksikasjad pole veel kättesaadavad.
ainult et rünnak ei mõjutanud digiallkirjade genereerimise võtmeid, montaažisüsteemi ega platvormi lähtekoodi – võtmeid SaltStacki kaudu hallatavast peamisest infrastruktuurist täiesti eraldiseisvates hostides ja ehitused peatati tehnilistel põhjustel 30. aprillil. Otsustades lehel oleva info järgi Arendajad on juba taastanud serveri koos Gerriti koodiülevaate süsteemiga, veebisaidi ja vikiga. Server koos sõlmedega (builds.lineageos.org), failide allalaadimise portaal (download.lineageos.org), meiliserverid ja peeglitele edastamise koordineerimise süsteem jäävad keelatuks.
Rünnak sai võimalikuks tänu sellele, et võrguport (4506) SaltStackile juurdepääsuks tulemüüri väliste päringute jaoks blokeeritud – ründaja pidi ootama SaltStacki kriitilise haavatavuse ilmumist ja seda ära kasutama, enne kui administraatorid installisid parandusega värskenduse. Kõigil SaltStacki kasutajatel soovitatakse oma süsteeme kiiresti värskendada ja kontrollida häkkimise märke.
Ilmselt ei piirdunud SaltStacki kaudu tehtavad rünnakud ainult LineageOS-i häkkimisega ja muutusid laialt levinud - päeva jooksul sattusid erinevad kasutajad, kellel polnud aega SaltStacki värskendada. oma infrastruktuuride ohu tuvastamine kaevanduskoodi või serverite tagauste paigutamisega. Kaasa arvatud umbes samalaadse sisuhaldussüsteemi infrastruktuuri häkkimise kohta , mis mõjutas Ghost(Pro) veebisaite ja arveldamist (väidetavalt krediitkaardinumbreid see ei mõjutanud, kuid Ghosti kasutajate parooliräsid võivad sattuda ründajate kätte).
29. aprill olid SaltStacki platvormi värskendused и , milles nad kõrvaldati (teave turvaaukude kohta avaldati 30. aprillil), millele on omistatud kõrgeim ohutase, kuna need on ilma autentimiseta koodi kaugkäivitamine nii juhthostis (salt-master) kui ka kõigis selle kaudu hallatavates serverites.
- Esimene haavatavus () on põhjustatud nõuetekohaste kontrollide puudumisest ClearFuncsi klassi meetodite kutsumisel salt-master protsessis. See haavatavus võimaldab kaugkasutaja juurdepääsu teatud meetoditele ilma autentimiseta. Sealhulgas probleemsete meetodite abil saab ründaja hankida peaserveri juurõigustega juurdepääsumärgi ja käivitada mis tahes käsud teenindatavatel hostidel, millel deemon töötab . Selle haavatavuse kõrvaldav plaaster oli 20 päeva tagasi, kuid pärast selle kasutamist ilmusid need pinnale , mis põhjustab failide sünkroonimise tõrkeid ja häireid.
- Teine haavatavus () võimaldab ClearFuncsi klassiga manipuleerimise kaudu saada juurdepääsu meetoditele, edastades teatud viisil vormindatud teid, mida saab kasutada täielikuks juurdepääsuks suvalistele kataloogidele peaserveri FS-is juurõigustega, kuid see nõuab autentitud juurdepääsu ( sellise juurdepääsu saab kasutada esimest haavatavust ja kasutada teist haavatavust kogu infrastruktuuri täielikuks ohustamiseks).
Allikas: opennet.ru