Mobilo platformu izstrādātāji , kas aizstāja CyanogenMod, par projekta infrastruktūras uzlaušanas pēdu identificēšanu. Tiek atzīmēts, ka 6. maijā pulksten 3 (MSK) uzbrucējam izdevās piekļūt centralizētās konfigurācijas pārvaldības sistēmas galvenajam serverim. izmantojot neizlabotu ievainojamību. Pašlaik notiek incidenta analīze, un sīkāka informācija vēl nav pieejama.
tikai tas, ka uzbrukums neietekmēja atslēgas digitālo parakstu ģenerēšanai, montāžas sistēmu un platformas pirmkodu - atslēgas resursdatoros, kas ir pilnībā atdalīti no galvenās infrastruktūras, ko pārvalda, izmantojot SaltStack, un būvēšana tika apturēta tehnisku iemeslu dēļ 30. aprīlī. Spriežot pēc informācijas lapā Izstrādātāji jau ir atjaunojuši serveri ar Gerrit kodu pārskatīšanas sistēmu, vietni un wiki. Serveris ar komplektiem (build.lineageos.org), failu lejupielādes portāls (download.lineageos.org), pasta serveri un sistēma pārsūtīšanas koordinēšanai uz spoguļiem joprojām ir atspējota.
Uzbrukums bija iespējams, pateicoties tīkla portam (4506), lai piekļūtu SaltStack bloķēja ugunsmūris ārējiem pieprasījumiem — uzbrucējam bija jāgaida, līdz parādīsies SaltStack kritiskā ievainojamība, un tā jāizmanto, pirms administratori instalēja atjauninājumu ar labojumu. Visiem SaltStack lietotājiem ieteicams steidzami atjaunināt sistēmas un pārbaudīt, vai nav uzlaušanas pazīmju.
Acīmredzot uzbrukumi, izmantojot SaltStack, neaprobežojās ar LineageOS uzlaušanu un kļuva plaši izplatīti - dienas laikā dažādi lietotāji, kuriem nebija laika atjaunināt SaltStack identificēt savu infrastruktūru apdraudējumu ar ieguves koda vai aizmugures durvju izvietošanu serveros. Ieskaitot par līdzīgu satura pārvaldības sistēmas infrastruktūras uzlaušanu , kas skāra Ghost(Pro) tīmekļa vietnes un norēķinus (tiek apgalvots, ka kredītkaršu numuri netika ietekmēti, bet Ghost lietotāju paroļu jaucējkodi varēja nonākt uzbrucēju rokās).
29. aprīlis bija SaltStack platformas atjauninājumi и , kurā tie tika likvidēti (informācija par ievainojamībām publicēta 30. aprīlī), kurām ir piešķirts augstākais bīstamības līmenis, jo tās ir bez autentifikācijas attālināta koda izpilde gan vadības resursdatorā (salt-master), gan visos caur to pārvaldītajos serveros.
- Pirmā ievainojamība () izraisa pareizu pārbaužu trūkums, izsaucot ClearFuncs klases metodes sāls-master procesā. Ievainojamība ļauj attālam lietotājam piekļūt noteiktām metodēm bez autentifikācijas. Tostarp, izmantojot problemātiskas metodes, uzbrucējs var iegūt pilnvaru piekļuvei ar root tiesībām galvenajam serverim un palaist visas komandas apkalpotajos saimniekdatoros, kuros darbojas dēmons. . Plāksteris, kas novērš šo ievainojamību, bija Pirms 20 dienām, bet pēc lietošanas tie parādījās , kas noved pie kļūmēm un failu sinhronizācijas traucējumiem.
- Otrā ievainojamība () ļauj, veicot manipulācijas ar ClearFuncs klasi, piekļūt metodēm, nododot noteiktā veidā formatētus ceļus, kurus var izmantot pilnīgai piekļuvei patvaļīgiem direktorijiem galvenā servera FS ar root tiesībām, taču tai ir nepieciešama autentificēta piekļuve ( šādu piekļuvi var iegūt, izmantojot pirmo ievainojamību, un izmantot otro ievainojamību, lai pilnībā kompromitētu visu infrastruktūru).
Avots: opennet.ru