Sviluppatori di piattaforme mobili , che ha sostituito CyanogenMod, sull'identificazione di tracce di hacking dell'infrastruttura del progetto. Si segnala che alle 6 del mattino (MSK) del 3 maggio l'aggressore è riuscito ad accedere al server principale del sistema centralizzato di gestione della configurazione attraverso lo sfruttamento di una vulnerabilità senza patch. L'incidente è attualmente in fase di analisi e i dettagli non sono ancora disponibili.
solo che l'attacco non ha colpito le chiavi per la generazione delle firme digitali, il sistema di assemblaggio e il codice sorgente della piattaforma - le chiavi su host completamente separati dall'infrastruttura principale gestita tramite SaltStack e le build sono state interrotte per motivi tecnici il 30 aprile. A giudicare dalle informazioni sulla pagina Gli sviluppatori hanno già ripristinato il server con il sistema di revisione del codice Gerrit, il sito web e il wiki. Il server con gli assembly (builds.lineageos.org), il portale per il download dei file (download.lineageos.org), i server di posta e il sistema per coordinare l'inoltro ai mirror rimangono disabilitati.
L'attacco è stato reso possibile dal fatto che la porta di rete (4506) per l'accesso a SaltStack bloccato dal firewall per richieste esterne: l'aggressore ha dovuto attendere che si manifestasse una vulnerabilità critica in SaltStack e sfruttarla prima che gli amministratori installassero un aggiornamento con una correzione. Si consiglia a tutti gli utenti SaltStack di aggiornare urgentemente i propri sistemi e verificare la presenza di segni di hacking.
A quanto pare, gli attacchi tramite SaltStack non si sono limitati all'hacking di LineageOS e si sono diffusi - durante il giorno, vari utenti che non hanno avuto il tempo di aggiornare SaltStack identificare la compromissione delle proprie infrastrutture con il posizionamento di codice minerario o backdoor sui server. Compreso su un simile hacking dell'infrastruttura del sistema di gestione dei contenuti , che ha colpito i siti web e la fatturazione di Ghost(Pro) (si sostiene che i numeri delle carte di credito non siano stati colpiti, ma gli hash delle password degli utenti Ghost potrebbero cadere nelle mani degli aggressori).
Il 29 aprile erano Aggiornamenti della piattaforma SaltStack и , in cui sono stati eliminati (le informazioni sulle vulnerabilità sono state pubblicate il 30 aprile), a cui viene assegnato il massimo livello di pericolo perché privi di autenticazione esecuzione di codice remoto sia sull'host di controllo (salt-master) che su tutti i server gestiti attraverso di esso.
- Prima vulnerabilità () è causato dalla mancanza di controlli adeguati durante la chiamata dei metodi della classe ClearFuncs nel processo salt-master. La vulnerabilità consente a un utente remoto di accedere a determinati metodi senza autenticazione. Anche attraverso metodi problematici, un utente malintenzionato può ottenere un token per accedere con diritti di root al server master ed eseguire eventuali comandi sugli host serviti su cui è in esecuzione il demone . La patch che elimina questa vulnerabilità è stata 20 giorni fa, ma dopo averlo usato sono emersi , causando errori e interruzioni della sincronizzazione dei file.
- Seconda vulnerabilità () consente, attraverso manipolazioni con la classe ClearFuncs, di accedere ai metodi passando in un certo modo percorsi formattati, che possono essere utilizzati per l'accesso completo a directory arbitrarie nel FS del server master con diritti di root, ma richiede un accesso autenticato ( tale accesso può essere ottenuto sfruttando la prima vulnerabilità e sfruttando la seconda vulnerabilità per compromettere completamente l'intera infrastruttura).
Fonte: opennet.ru