هک زیرساخت LineageOS از طریق یک آسیب پذیری در SaltStack

توسعه دهندگان پلتفرم موبایل LineageOSکه جایگزین سیانوژن مد شد، هشدار داد در مورد شناسایی آثار هک زیرساخت پروژه. خاطرنشان می شود که در ساعت 6 صبح (MSK) در 3 می، مهاجم موفق شد به سرور اصلی سیستم مدیریت پیکربندی متمرکز دسترسی پیدا کند. SaltStack از طریق بهره برداری از یک آسیب پذیری اصلاح نشده این حادثه در حال حاضر در حال تجزیه و تحلیل است و جزئیات آن هنوز در دسترس نیست.

گزارش شده تنها این که این حمله بر کلیدهای تولید امضای دیجیتال، سیستم مونتاژ و کد منبع پلت فرم - کلیدها تأثیر نمی گذارد. قرار گرفتند روی هاست ها کاملا جدا از زیرساخت اصلی مدیریت شده از طریق SaltStack، و ساخت ها به دلایل فنی در 30 آوریل متوقف شدند. با توجه به اطلاعات موجود در صفحه قضاوت کنید status.lineageos.org توسعه دهندگان قبلاً سرور را با سیستم بازبینی کد Gerrit، وب سایت و ویکی بازیابی کرده اند. سرور با مجموعه‌ها (builds.lineageos.org)، پورتال بارگیری فایل‌ها (download.lineageos.org)، سرورهای پست الکترونیکی و سیستم هماهنگی ارسال به آینه‌ها غیرفعال هستند.

این حمله با توجه به اینکه پورت شبکه (4506) برای دسترسی به SaltStack امکان پذیر شد نبود برای درخواست‌های خارجی توسط فایروال مسدود شده است - مهاجم باید منتظر می‌ماند تا یک آسیب‌پذیری مهم در SaltStack ظاهر شود و قبل از اینکه مدیران یک به‌روزرسانی را با یک اصلاح نصب کنند، از آن سوء استفاده کند. به همه کاربران SaltStack توصیه می شود که فوراً سیستم های خود را به روز کنند و علائم هک را بررسی کنند.

ظاهراً حملات از طریق SaltStack محدود به هک LineageOS نبودند و گسترده شدند - در طول روز، کاربران مختلفی که وقت نداشتند SaltStack را به روز کنند. جشن گرفتن شناسایی به خطر افتادن زیرساخت های خود با قرار دادن کد استخراج یا درهای پشتی روی سرورها. شامل گزارش داد در مورد هک مشابه زیرساخت سیستم مدیریت محتوا روح، که وب سایت های Ghost(Pro) و صورت حساب را تحت تأثیر قرار داد (ادعا می شود که شماره کارت اعتباری تحت تأثیر قرار نگرفته است، اما هش رمز عبور کاربران Ghost ممکن است به دست مهاجمان بیفتد).

29 آوریل بود منتشر شد به روز رسانی پلتفرم SaltStack 3000.2 и 2019.2.4، که در آن حذف شدند دو آسیب پذیری (اطلاعات مربوط به آسیب پذیری ها در 30 آوریل منتشر شد)، که بالاترین سطح خطر را به خود اختصاص داده اند، زیرا آنها بدون احراز هویت هستند. اجازه اجرای کد از راه دور هم در میزبان کنترل (سالت-مستر) و هم در تمام سرورهایی که از طریق آن مدیریت می شوند.

• آسیب پذیری اول (CVE-2020-11651) ناشی از عدم بررسی مناسب هنگام فراخوانی متدهای کلاس ClearFuncs در فرآیند salt-master است. این آسیب پذیری به کاربر راه دور اجازه می دهد تا بدون احراز هویت به روش های خاصی دسترسی داشته باشد. از جمله از طریق روش‌های مشکل‌ساز، یک مهاجم می‌تواند توکنی برای دسترسی با حقوق ریشه به سرور اصلی دریافت کند و هر دستوری را بر روی میزبان‌های ارائه‌شده که دیمون در آن اجرا می‌شود اجرا کند. نمک مینیون. وصله حذف این آسیب پذیری بود منتشر شد 20 روز پیش، اما پس از استفاده از آن ظاهر شدند قهقرایی تغییرات، منجر به خرابی و اختلال در همگام سازی فایل ها می شود.
• آسیب پذیری دوم (CVE-2020-11652) اجازه می دهد تا از طریق دستکاری با کلاس ClearFuncs، با عبور از مسیرهای فرمت شده به روش خاصی به متدها دسترسی پیدا کند، که می تواند برای دسترسی کامل به دایرکتوری های دلخواه در FS سرور اصلی با حقوق ریشه استفاده شود، اما نیاز به دسترسی تأیید شده دارد ( چنین دسترسی را می توان با استفاده از آسیب پذیری اول به دست آورد و از آسیب پذیری دوم برای به خطر انداختن کامل زیرساخت استفاده کرد.

منبع: opennet.ru