Mobiilialustojen kehittäjät , joka korvasi CyanogenModin, hankkeen infrastruktuurin hakkeroinnin jälkien tunnistamisesta. On huomattava, että 6. toukokuuta kello 3 (MSK) hyökkääjä onnistui pääsemään keskitetyn kokoonpanonhallintajärjestelmän pääpalvelimelle korjaamattoman haavoittuvuuden hyödyntämisen kautta. Tapausta analysoidaan parhaillaan, eikä yksityiskohtia ole vielä saatavilla.
vain, että hyökkäys ei vaikuttanut digitaalisten allekirjoitusten luomisen avaimiin, kokoonpanojärjestelmään ja alustan lähdekoodiin - avaimet isännissä, jotka ovat täysin erillään SaltStackin kautta hallitusta pääinfrastruktuurista, ja koontiversiot keskeytettiin teknisistä syistä 30. huhtikuuta. Sivun tiedoista päätellen Kehittäjät ovat jo palauttaneet palvelimen Gerrit-koodintarkistusjärjestelmällä, verkkosivustolla ja wikillä. Palvelin kokoonpanoineen (builds.lineageos.org), tiedostojen latausportaali (download.lineageos.org), sähköpostipalvelimet ja järjestelmä edelleenlähetyksen koordinoimiseksi peileille pysyvät poissa käytöstä.
Hyökkäys oli mahdollista, koska verkkoportti (4506) SaltStackiin pääsyä varten palomuuri estää ulkoiset pyynnöt - hyökkääjän oli odotettava SaltStackin kriittisen haavoittuvuuden ilmaantumista ja hyödynnettävä sitä ennen kuin järjestelmänvalvojat asensivat korjauksen sisältävän päivityksen. Kaikkia SaltStack-käyttäjiä kehotetaan päivittämään järjestelmänsä kiireellisesti ja tarkistamaan hakkeroinnin merkkejä.
Ilmeisesti SaltStackin kautta tehdyt hyökkäykset eivät rajoittuneet LineageOS:n hakkerointiin ja yleistyivät - päivän aikana useat käyttäjät, joilla ei ollut aikaa päivittää SaltStackia tunnistaa infrastruktuuriensa vaarantumisen kaivoskoodin tai takaovien sijoittamisesta palvelimille. Mukaan lukien vastaavasta sisällönhallintajärjestelmän infrastruktuurin hakkeroinnista , joka vaikutti Ghost(Pro)-verkkosivustoihin ja laskutukseen (väitetään, että luottokorttien numerot eivät vaikuttaneet, mutta Ghost-käyttäjien salasanahajautus saattaa joutua hyökkääjien käsiin).
29. huhtikuuta olivat SaltStack-alustan päivitykset и , jossa ne eliminoitiin (tiedot haavoittuvuuksista julkaistiin 30. huhtikuuta), joille on määritetty korkein vaarataso, koska ne ovat ilman todennusta koodin etäsuoritus sekä ohjausisännällä (salt-master) että kaikilla sen kautta hallituilla palvelimilla.
- Ensimmäinen haavoittuvuus () johtuu asianmukaisten tarkistusten puutteesta kutsuttaessa ClearFuncs-luokan menetelmiä salt-master-prosessissa. Haavoittuvuuden ansiosta etäkäyttäjä voi käyttää tiettyjä menetelmiä ilman todennusta. Mukaan lukien ongelmallisten menetelmien avulla, hyökkääjä voi hankkia pääpalvelimen pääpalvelimen käyttöoikeustunnuksen ja suorittaa mitä tahansa komentoja palvelimilla isännillä, joissa demoni toimii . Tämän haavoittuvuuden poistava korjaustiedosto oli 20 päivää sitten, mutta käytön jälkeen ne ilmestyivät , mikä johtaa virheisiin ja häiriöihin tiedostojen synkronoinnissa.
- Toinen haavoittuvuus () mahdollistaa ClearFuncs-luokan manipuloinnin avulla pääsyn menetelmiin välittämällä tietyllä tavalla muotoiltuja polkuja, joita voidaan käyttää pääpalvelimen FS:n mielivaltaisten hakemistojen täysimääräiseen pääsyyn pääkäyttäjän oikeuksin, mutta vaatii todennettua pääsyä ( tällainen käyttöoikeus voidaan saada käyttämällä ensimmäistä haavoittuvuutta ja käyttää toista haavoittuvuutta vaarantaaksesi koko infrastruktuurin kokonaan).
Lähde: opennet.ru