Mobile Plattform Entwéckler , deen CyanogenMod ersat huet, iwwer d'Identifikatioun vun Spuere vum Hacking vun der Projetinfrastruktur. Et gëtt bemierkt datt um 6 Auer (MSK) den 3. Mee den Ugräifer et fäerdeg bruecht Zougang zum Haaptserver vum zentraliséierte Konfiguratiounsmanagementsystem ze kréien duerch Ausbeutung vun enger onpatchéierter Schwachstelle. Den Tëschefall gëtt am Moment analyséiert an Detailer sinn nach net verfügbar.
nëmmen datt d'Attack net d'Schlëssel beaflosst fir digital Ënnerschrëften ze generéieren, de Versammlungssystem an de Quellcode vun der Plattform - d'Schlësselen op Hosten komplett getrennt vun der Haaptinfrastruktur, déi duerch SaltStack geréiert gëtt, a Bauen goufen aus technesche Grënn den 30. Abrëll gestoppt. No der Informatioun op der Säit beurteelen D'Entwéckler hunn de Server scho mat dem Gerrit Code review System, der Websäit an der Wiki restauréiert. De Server mat Versammlungen (builds.lineageos.org), de Portal fir Dateien erofzelueden (download.lineageos.org), Mailserveren an de System fir d'Koordinatioun vum Forward op Spigelen bleiwen behënnert.
D'Attack war méiglech gemaach wéinst der Tatsaach, datt de Reseau port (4506) fir Zougang zu SaltStack blockéiert fir extern Ufroe vun der Firewall - den Ugräifer huet misse waarden op eng kritesch Schwachstelle am SaltStack fir ze erschéngen an auszenotzen ier d'Administrateuren en Update mat enger Fix installéiert hunn. All SaltStack Benotzer ginn ugeroden hir Systemer dréngend ze aktualiséieren an no Unzeeche vum Hacking ze kontrolléieren.
Anscheinend waren Attacke iwwer SaltStack net limitéiert op LineageOS Hacking a goufe verbreet - am Laf vum Dag, verschidde Benotzer déi keng Zäit haten SaltStack ze aktualiséieren d'Identifikatioun vun de Kompromëss vun hiren Infrastrukturen mat der Plazéierung vum Miningcode oder Backdoors op Serveren. Dorënner iwwer en ähnlechen Hacking vun der Inhaltsmanagementsysteminfrastruktur , déi Ghost(Pro) Websäiten a Rechnung beaflosst (et gëtt behaapt datt d'Kreditkaartnummeren net beaflosst goufen, awer d'Passwuert-Hashes vu Ghost Benotzer kéinten an d'Hänn vun den Ugräifer falen).
29. Abrëll waren SaltStack Plattform Updates и , an deem se eliminéiert goufen (Informatioun iwwer Schwachstelle gouf den 30. Abrëll publizéiert), déi den héchsten Niveau vun der Gefor zougewisen sinn, well se ouni Authentifikatioun sinn Remote Code Ausféierung souwuel um Kontrollhost (Salt-Master) an op all Serveren, déi doduerch geréiert ginn.
- Éischt Schwachstelle () gëtt duerch e Manktem u richtege Kontrollen verursaacht wann Dir Methoden vun der ClearFuncs Klass am Salz-Master-Prozess urufft. D'Schwachheet erlaabt engem Remote Benotzer Zougang zu bestëmmte Methoden ouni Authentifikatioun. Mat abegraff duerch problematesch Methoden, kann en Ugräifer en Token fir Zougang mat Rootrechter op de Masterserver kréien an all Kommandoen op de servéierte Hosten ausféieren, op deenen den Daemon leeft . De Patch deen dës Schwachstelle eliminéiert war Virun 20 Deeg, awer nodeems se se benotzt hunn, sinn se opgedaucht , wat zu Feeler a Stéierunge vun der Dateisynchroniséierung féiert.
- Zweet Schwachstelle () erlaabt, duerch Manipulatioune mat der ClearFuncs Klass, Zougang zu Methoden ze kréien andeems se op eng gewësse Manéier formatéiert Weeër passéieren, déi fir voll Zougang zu arbiträr Verzeichnisser am FS vum Master Server mat root Rechter benotzt kënne ginn, awer erfuerdert authentifizéierten Zougang ( sou Zougang kann mat der éischter Schwachstelle kritt ginn an déi zweet Schwachstelle benotze fir déi ganz Infrastruktur komplett ze kompromittéieren).
Source: opennet.ru