モバイルプラットフォーム開発者 CyanogenMod に代わる、 プロジェクトのインフラストラクチャのハッキングの痕跡の特定について。 6 月 3 日午前 XNUMX 時 (MSK) に、攻撃者は集中構成管理システムのメイン サーバーへのアクセスに成功したことが注目されています。 パッチが適用されていない脆弱性の悪用によるもの。この事件は現在分析中ですが、詳細はまだ明らかになっていません。
ただ、攻撃はデジタル署名を生成するためのキー、アセンブリ システム、プラットフォームのソース コードには影響しませんでした。 SaltStack を通じて管理されるメインのインフラストラクチャから完全に分離されたホスト上に構築されており、技術的な理由により 30 月 XNUMX 日にビルドが停止されました。ページの情報から判断すると 開発者は、Gerrit コード レビュー システム、Web サイト、Wiki を備えたサーバーをすでに復元しています。アセンブリを含むサーバー (builds.lineageos.org)、ファイルをダウンロードするためのポータル (download.lineageos.org)、メール サーバー、およびミラーへの転送を調整するシステムは無効のままです。
この攻撃は、SaltStack にアクセスするためのネットワーク ポート (4506) が使用されなかったために可能になりました。 ファイアウォールによって外部リクエストがブロックされる - 攻撃者は、管理者が修正を含むアップデートをインストールする前に、SaltStack に重大な脆弱性が出現してそれを悪用するのを待つ必要がありました。すべての SaltStack ユーザーは、早急にシステムを更新し、ハッキングの兆候がないか確認することをお勧めします。
どうやら、SaltStack を介した攻撃は LineageOS のハッキングに限定されず、広範囲に及んだようです。日中、SaltStack を更新する時間がなかったさまざまなユーザーが攻撃を開始しました。 サーバー上にマイニング コードやバックドアを配置することによるインフラストラクチャの侵害を特定します。含む コンテンツ管理システムインフラに対する同様のハッキングについて 、Ghost(Pro) Web サイトと請求に影響を与えました (クレジット カード番号は影響を受けなかったと言われていますが、Ghost ユーザーのパスワード ハッシュが攻撃者の手に渡る可能性があります)。
29月XNUMX日は SaltStack プラットフォームのアップデート и 、そこで彼らは排除されました (脆弱性に関する情報は 30 月 XNUMX 日に公開されました)、認証されていないため、最も高い危険レベルが割り当てられています。 制御ホスト (salt-master) とそれを通じて管理されるすべてのサーバーの両方でリモート コードが実行されます。
- 最初の脆弱性 () は、salt-master プロセスで ClearFuncs クラスのメソッドを呼び出すときに適切なチェックが行われていないことが原因で発生します。この脆弱性により、リモート ユーザーは認証なしで特定のメソッドにアクセスできます。問題のある方法を含め、攻撃者はマスターサーバーへの root 権限でアクセスするためのトークンを取得し、デーモンが実行されているサービス対象ホスト上で任意のコマンドを実行することができます。 。この脆弱性を解消するパッチは、 20日前ですが、使用後に表面化しました 、ファイル同期の失敗や中断につながります。
- XNUMX 番目の脆弱性 () ClearFuncs クラスの操作を通じて、特定の形式でフォーマットされたパスを渡すことでメソッドにアクセスできるようになります。これは、ルート権限を持つマスター サーバーの FS 内の任意のディレクトリへのフル アクセスに使用できますが、認証されたアクセスが必要です (このようなアクセスは最初の脆弱性を使用して取得でき、XNUMX 番目の脆弱性を使用してインフラストラクチャ全体を完全に侵害することができます。
出所: オープンネット.ru