Programeri mobilnih platformi , koji je zamijenio CyanogenMod, o identificiranju tragova hakiranja infrastrukture projekta. Napominje se da je u 6 ujutro (MSK) 3. svibnja napadač uspio dobiti pristup glavnom poslužitelju centraliziranog sustava upravljanja konfiguracijom kroz iskorištavanje nezakrpane ranjivosti. Incident se trenutno analizira, a detalji još nisu dostupni.
samo što napad nije zahvatio ključeve za generiranje digitalnog potpisa, sustav za sklapanje i izvorni kod platforme - ključeve na hostovima potpuno odvojenim od glavne infrastrukture kojom se upravlja putem SaltStacka, a izgradnje su zaustavljene iz tehničkih razloga 30. travnja. Sudeći prema podacima na stranici Programeri su već obnovili poslužitelj sa sustavom pregleda koda Gerrit, web stranicu i wiki. Poslužitelj sa sklopovima (builds.lineageos.org), portal za preuzimanje datoteka (download.lineageos.org), mail serveri i sustav za koordinaciju prosljeđivanja na mirrore ostaju onemogućeni.
Napad je bio moguć zbog činjenice da mrežni port (4506) za pristup SaltStacku blokiran za vanjske zahtjeve vatrozidom - napadač je morao čekati da se pojavi kritična ranjivost u SaltStacku i iskoristiti je prije nego što su administratori instalirali ažuriranje s popravkom. Svim korisnicima SaltStacka savjetuje se da hitno ažuriraju svoje sustave i provjere ima li znakova hakiranja.
Očigledno, napadi putem SaltStacka nisu bili ograničeni na hakiranje LineageOS-a i postali su rašireni - tijekom dana, razni korisnici koji nisu imali vremena ažurirati SaltStack identificiranje kompromitacije njihovih infrastruktura s postavljanjem rudarskog koda ili stražnjih vrata na poslužiteljima. Uključujući o sličnom hakiranju infrastrukture sustava za upravljanje sadržajem , što je utjecalo na Ghost(Pro) web stranice i naplatu (tvrdi se da brojevi kreditnih kartica nisu bili pogođeni, ali hashovi lozinki korisnika Ghosta mogli bi pasti u ruke napadača).
29. travnja bili su Ažuriranja platforme SaltStack и , u kojem su eliminirani (informacije o ranjivostima objavljene su 30. travnja), kojima je dodijeljena najviša razina opasnosti, jer su bez autentifikacije daljinsko izvršavanje koda kako na kontrolnom hostu (salt-masteru), tako i na svim poslužiteljima kojima se upravlja preko njega.
- Prva ranjivost () uzrokovan je nedostatkom odgovarajućih provjera prilikom pozivanja metoda klase ClearFuncs u procesu salt-master. Ranjivost omogućuje udaljenom korisniku pristup određenim metodama bez provjere autentičnosti. Uključujući problematične metode, napadač može dobiti token za pristup s root pravima glavnom poslužitelju i pokrenuti sve naredbe na serviranim hostovima na kojima je pokrenut demon . Zakrpa koja uklanja ovu ranjivost bila je Prije 20 dana, ali nakon korištenja isplivale su , što dovodi do kvarova i prekida sinkronizacije datoteka.
- Druga ranjivost () omogućuje, kroz manipulacije s klasom ClearFuncs, dobivanje pristupa metodama prosljeđivanjem na određeni način formatiranih staza, koje se mogu koristiti za puni pristup proizvoljnim direktorijima u FS-u glavnog poslužitelja s root pravima, ali zahtijeva autentificirani pristup ( takav se pristup može dobiti pomoću prve ranjivosti i koristiti drugu ranjivost za potpuno kompromitiranje cijele infrastrukture).
Izvor: opennet.ru