SaltStack의 취약점을 통해 LineageOS 인프라 해킹

모바일 플랫폼 개발자 LineageOS, CyanogenMod를 대체했습니다. 경고 한 프로젝트 인프라 해킹 흔적 식별에 대해 공격자는 6월 3일 오전 XNUMX시(MSK) 중앙형 구성관리 시스템의 메인 서버에 접근한 것으로 알려졌다. SaltStack 패치되지 않은 취약점을 악용하여 해당 사건은 현재 분석 중이며 자세한 내용은 아직 알 수 없습니다.

보도에 의하면 공격이 디지털 서명 생성을 위한 키, 조립 시스템 및 플랫폼의 소스 코드(키)에 영향을 미치지 않았다는 점만 기억하면 됩니다. 위치했다 SaltStack을 통해 관리되는 주요 인프라와 완전히 분리된 호스트에서 진행되었으며, 기술적인 이유로 30월 XNUMX일 빌드가 중단되었습니다. 페이지의 정보로 판단 status.lineageos.org 개발자는 이미 Gerrit 코드 검토 시스템, 웹사이트 및 위키를 사용하여 서버를 복원했습니다. 어셈블리가 있는 서버(builds.lineageos.org), 파일 다운로드를 위한 포털(download.lineageos.org), 메일 서버 및 미러로의 전달을 조정하는 시스템은 비활성화된 상태로 유지됩니다.

해당 공격은 SaltStack에 접근하기 위한 네트워크 포트(4506)가 존재하지 않기 때문에 가능했습니다. 아니었다. 방화벽에 의해 외부 요청이 차단됨 - 공격자는 관리자가 수정 사항이 포함된 업데이트를 설치하기 전에 SaltStack의 심각한 취약점이 나타날 때까지 기다렸다가 이를 악용해야 했습니다. 모든 SaltStack 사용자는 시스템을 긴급하게 업데이트하고 해킹 징후를 확인하는 것이 좋습니다.

분명히 SaltStack을 통한 공격은 LineageOS 해킹에만 국한되지 않고 널리 퍼졌습니다. 낮 동안 SaltStack을 업데이트할 시간이 없었던 다양한 사용자가 축하하다 서버에 마이닝 코드나 백도어를 배치하여 인프라의 손상을 식별합니다. 포함 сообщается 콘텐츠 관리 시스템 인프라에 대한 유사한 해킹에 대해 유령, 이는 Ghost(Pro) 웹사이트 및 청구에 영향을 미쳤습니다(신용카드 번호는 영향을 받지 않았지만 Ghost 사용자의 비밀번호 해시는 공격자의 손에 넘어갈 수 있다고 주장됩니다).

29월 XNUMX일은 출시된 SaltStack 플랫폼 업데이트 3000.2 и 2019.2.4, 여기서 그들은 제거되었습니다. 두 가지 취약점 (30월 XNUMX일자 취약점 정보 공개), 인증되지 않아 위험도가 가장 높은 것으로 지정됨 허용하다 제어 호스트(salt-master)와 이를 통해 관리되는 모든 서버 모두에서 원격 코드 실행.

• 첫 번째 취약점(CVE-2020-11651)은 salt-master 프로세스에서 ClearFuncs 클래스의 메서드를 호출할 때 적절한 검사가 부족하여 발생합니다. 이 취약점으로 인해 원격 사용자가 인증 없이 특정 방법에 액세스할 수 있습니다. 문제가 있는 방법을 포함하여 공격자는 마스터 서버에 대한 루트 권한으로 액세스하기 위한 토큰을 얻고 데몬이 실행되고 있는 제공되는 호스트에서 모든 명령을 실행할 수 있습니다. 소금 하수인. 이 취약점을 제거하는 패치는 다음과 같습니다. 출판 된 20일 전인데 사용하고 나니 이런 현상이 나타났네요 퇴행 변경, 파일 동기화 실패 및 중단으로 이어집니다.
• 두 번째 취약점(CVE-2020-11652)은 ClearFuncs 클래스를 사용한 조작을 통해 루트 권한으로 마스터 서버의 FS에 있는 임의 디렉터리에 대한 전체 액세스에 사용할 수 있는 특정 방식으로 형식화된 경로를 전달하여 메서드에 액세스할 수 있도록 허용하지만 인증된 액세스가 필요합니다( 이러한 액세스는 첫 번째 취약점을 사용하여 얻을 수 있으며 두 번째 취약점을 사용하여 전체 인프라를 완전히 손상시킬 수 있습니다.

출처 : opennet.ru