Mobil platform fejlesztők , amely a CyanogenModot váltotta fel, a projekt infrastruktúrájának feltörésének nyomainak azonosításáról. Megjegyzendő, hogy május 6-án reggel 3 órakor (MSK) a támadónak sikerült hozzáférnie a központi konfigurációkezelő rendszer fő szerveréhez. egy javítatlan biztonsági rést kihasználva. Az esetet jelenleg elemzik, részletek még nem állnak rendelkezésre.
csak azt, hogy a támadás nem érintette a digitális aláírás generáló kulcsokat, az összeállítási rendszert és a platform forráskódját - a kulcsokat a SaltStacken keresztül kezelt fő infrastruktúrától teljesen elkülönülő gazdagépeken, és a buildek technikai okok miatt leálltak április 30-án. Az oldalon található információk alapján A fejlesztők már visszaállították a szervert a Gerrit kódellenőrző rendszerrel, a weboldalt és a wikit. Az összeállításokkal rendelkező szerver (build.lineageos.org), a fájlok letöltésére szolgáló portál (download.lineageos.org), a levelezőszerverek és a tükrökhöz való továbbítást koordináló rendszer továbbra is le van tiltva.
A támadást a SaltStack eléréséhez szükséges hálózati port (4506) tette lehetővé a tűzfal blokkolta a külső kéréseket – a támadónak meg kellett várnia a SaltStack kritikus biztonsági résének megjelenését, és ki kellett használnia azt, mielőtt a rendszergazdák egy javítást tartalmazó frissítést telepítettek volna. Minden SaltStack-felhasználónak azt tanácsoljuk, hogy sürgősen frissítse rendszerét, és ellenőrizze a feltörésre utaló jeleket.
Úgy tűnik, a SaltStacken keresztüli támadások nem korlátozódtak a LineageOS feltörésére, és széles körben elterjedtek - a nap folyamán különféle felhasználók, akiknek nem volt idejük frissíteni a SaltStacket infrastruktúrájuk kompromittálódásának azonosítása bányászati kód vagy hátsó ajtók szervereken való elhelyezésével. Beleértve a tartalomkezelő rendszer infrastruktúrájának hasonló feltöréséről , amely a Ghost(Pro) webhelyeket és a számlázást érintette (állítólag a hitelkártyaszámokat nem érintette, de a Ghost felhasználók jelszókivonatai a támadók kezébe kerülhetnek).
április 29-én volt SaltStack platform frissítések и , amelyben kiestek (a sebezhetőségekről április 30-án tették közzé a tájékoztatást), amelyek a legmagasabb szintű veszélyt jelentik, mivel hitelesítés nélküliek távoli kódvégrehajtás mind a vezérlő hoszton (salt-master), mind az összes azon keresztül kezelt szerveren.
- Első sebezhetőség () oka a megfelelő ellenőrzések hiánya a ClearFuncs osztály metódusainak a salt-master folyamatban történő meghívásakor. A biztonsági rés lehetővé teszi a távoli felhasználók számára, hogy hitelesítés nélkül hozzáférjenek bizonyos módszerekhez. Beleértve a problémás módszereket is, a támadó egy tokent szerezhet root jogokkal a főkiszolgálóhoz, és bármilyen parancsot futtathat a kiszolgált gazdagépeken, amelyeken a démon fut. . A sérülékenységet megszüntető javítás az volt 20 napja, de használat után megjelentek , ami hibákhoz és a fájlszinkronizálás megszakadásához vezet.
- Második sebezhetőség () lehetővé teszi, hogy a ClearFuncs osztállyal végzett manipulációkon keresztül hozzáférjen a metódusokhoz, meghatározott módon formázott elérési utak átadásával, amelyek teljes hozzáférést biztosítanak a főkiszolgáló FS-ében lévő tetszőleges könyvtárakhoz root jogokkal, de hitelesített hozzáférést igényel ( ilyen hozzáférés az első biztonsági rés használatával érhető el, a második sebezhető pedig a teljes infrastruktúra teljes veszélyeztetésére használható.
Forrás: opennet.ru