Desenvolvedores de plataformas móbiles , que substituíu a CyanogenMod, sobre a identificación de rastros de piratería da infraestrutura do proxecto. Nótase que ás 6 da mañá (MSK) do 3 de maio, o atacante conseguiu acceder ao servidor principal do sistema de xestión de configuración centralizada. mediante a explotación dunha vulnerabilidade sen parche. O suceso está a ser analizado e aínda non se coñecen os detalles.
só que o ataque non afectou as claves para xerar sinaturas dixitais, o sistema de montaxe e o código fonte da plataforma: as claves en hosts completamente separados da infraestrutura principal xestionada a través de SaltStack, e as construcións detivéronse por motivos técnicos o 30 de abril. A xulgar pola información da páxina Os desenvolvedores xa restauraron o servidor co sistema de revisión do código Gerrit, o sitio web e a wiki. O servidor con ensamblaxes (builds.lineageos.org), o portal de descarga de ficheiros (download.lineageos.org), os servidores de correo e o sistema de coordinación do reenvío a espellos permanecen desactivados.
O ataque foi posible debido a que o porto de rede (4506) para acceder a SaltStack bloqueado para solicitudes externas polo firewall: o atacante tivo que esperar a que aparecese unha vulnerabilidade crítica en SaltStack e explotala antes de que os administradores instalasen a actualización coa corrección. Recoméndase a todos os usuarios de SaltStack que actualicen con urxencia os seus sistemas e comproben se hai signos de piratería.
Ao parecer, os ataques a través de SaltStack non se limitaron a piratear LineageOS e xeneralizáronse; durante o día, varios usuarios que non tiveron tempo de actualizar SaltStack identificando o compromiso das súas infraestruturas coa colocación de código mineiro ou portas traseiras en servidores. Incluíndo sobre un hackeo similar da infraestrutura do sistema de xestión de contidos , que afectou aos sitios web e á facturación de Ghost(Pro) (afirmase que os números de tarxeta de crédito non se viron afectados, pero os hash de contrasinais dos usuarios de Ghost poderían caer en mans dos atacantes).
29 de abril foron Actualizacións da plataforma SaltStack и , no que foron eliminados (a información sobre as vulnerabilidades publicouse o 30 de abril), ás que se lles asigna o maior nivel de perigo, xa que están sen autenticación execución remota de código tanto no host de control (salt-master) como en todos os servidores xestionados a través del.
- Primeira vulnerabilidade () é causada pola falta de comprobacións adecuadas ao chamar a métodos da clase ClearFuncs no proceso salt-master. A vulnerabilidade permite que un usuario remoto acceda a certos métodos sen autenticación. Incluso a través de métodos problemáticos, un atacante pode obter un token para acceder con dereitos de root ao servidor mestre e executar calquera comando nos hosts servidos nos que se está a executar o daemon. . O parche que elimina esta vulnerabilidade foi Hai 20 días, pero despois de usalo xurdiron , o que provoca fallos e interrupcións na sincronización de ficheiros.
- Segunda vulnerabilidade () permite, a través de manipulacións coa clase ClearFuncs, acceder aos métodos pasando de certo xeito camiños formateados, que poden ser usados para o acceso total a directorios arbitrarios no FS do servidor mestre con dereitos de root, pero require un acceso autenticado ( este acceso pódese obter usando a primeira vulnerabilidade e utilizar a segunda vulnerabilidade para comprometer completamente a infraestrutura completa).
Fonte: opennet.ru