Pengembang platform seluler , yang menggantikan CyanogenMod, tentang mengidentifikasi jejak peretasan infrastruktur proyek. Tercatat bahwa pada pukul 6 pagi (MSK) pada tanggal 3 Mei, penyerang berhasil mendapatkan akses ke server utama dari sistem manajemen konfigurasi terpusat. melalui eksploitasi kerentanan yang belum ditambal. Insiden tersebut saat ini sedang dianalisis dan rinciannya belum tersedia.
hanya saja serangan itu tidak mempengaruhi kunci untuk menghasilkan tanda tangan digital, sistem perakitan dan kode sumber platform - kuncinya pada host yang benar-benar terpisah dari infrastruktur utama yang dikelola melalui SaltStack, dan pembangunan dihentikan karena alasan teknis pada tanggal 30 April. Dilihat dari informasi di halaman Pengembang telah memulihkan server dengan sistem peninjauan kode Gerrit, situs web, dan wiki. Server dengan rakitan (builds.lineageos.org), portal untuk mengunduh file (download.lineageos.org), server email, dan sistem untuk mengoordinasikan penerusan ke mirror tetap dinonaktifkan.
Serangan ini dimungkinkan karena port jaringan (4506) untuk mengakses SaltStack diblokir untuk permintaan eksternal oleh firewall - penyerang harus menunggu hingga kerentanan kritis di SaltStack muncul dan mengeksploitasinya sebelum administrator menginstal pembaruan dengan perbaikan. Semua pengguna SaltStack disarankan untuk segera memperbarui sistem mereka dan memeriksa tanda-tanda peretasan.
Rupanya, serangan melalui SaltStack tidak terbatas pada peretasan LineageOS dan meluas - pada siang hari, berbagai pengguna yang tidak punya waktu untuk memperbarui SaltStack mengidentifikasi kompromi infrastruktur mereka dengan penempatan kode penambangan atau pintu belakang di server. Termasuk tentang peretasan serupa terhadap infrastruktur sistem manajemen konten , yang memengaruhi situs web dan penagihan Ghost(Pro) (diklaim bahwa nomor kartu kredit tidak terpengaruh, namun hash kata sandi pengguna Ghost dapat jatuh ke tangan penyerang).
Tanggal 29 April adalah Pembaruan platform SaltStack ΠΈ , di mana mereka tersingkir (informasi tentang kerentanan dipublikasikan pada tanggal 30 April), yang ditetapkan sebagai tingkat bahaya tertinggi, karena tanpa otentikasi eksekusi kode jarak jauh baik pada host kontrol (salt-master) dan pada semua server yang dikelola melaluinya.
- Kerentanan pertama () disebabkan oleh kurangnya pemeriksaan yang tepat saat memanggil metode kelas ClearFuncs dalam proses salt-master. Kerentanan ini memungkinkan pengguna jarak jauh untuk mengakses metode tertentu tanpa otentikasi. Termasuk melalui metode yang bermasalah, penyerang dapat memperoleh token untuk akses dengan hak root ke server master dan menjalankan perintah apa pun pada host yang dilayani tempat daemon dijalankan. . Tambalan yang menghilangkan kerentanan ini adalah 20 hari lalu, tapi setelah dipakai muncul ke permukaan , menyebabkan kegagalan dan gangguan sinkronisasi file.
- Kerentanan kedua () memungkinkan, melalui manipulasi dengan kelas ClearFuncs, untuk mendapatkan akses ke metode dengan meneruskan jalur yang diformat dengan cara tertentu, yang dapat digunakan untuk akses penuh ke direktori arbitrer di FS server master dengan hak root, tetapi memerlukan akses yang diautentikasi ( akses tersebut dapat diperoleh dengan menggunakan kerentanan pertama dan menggunakan kerentanan kedua untuk sepenuhnya membahayakan seluruh infrastruktur).
Sumber: opennet.ru