Програмери на мобилна платформа , кој го замени CyanogenMod, за идентификација на траги од хакирање на проектната инфраструктура. Забележано е дека во 6 часот наутро (МСК) на 3 мај, напаѓачот успеал да добие пристап до главниот сервер на централизираниот систем за управување со конфигурации преку искористување на незакрпена ранливост. Инцидентот моментално се анализира и детали се уште не се достапни.
само што нападот не влијаел на клучевите за генерирање дигитални потписи, системот за склопување и изворниот код на платформата - клучевите на домаќините целосно одвоени од главната инфраструктура управувана преку SaltStack, а градбите беа стопирани од технички причини на 30 април. Судејќи според информациите на страницата Програмерите веќе го вратија серверот со системот за преглед на кодот Gerrit, веб-страницата и викито. Серверот со склопови (builds.lineageos.org), порталот за преземање датотеки (download.lineageos.org), серверите за пошта и системот за координирање на препраќање до огледалата остануваат оневозможени.
Нападот беше овозможен поради фактот што мрежната порта (4506) за пристап до SaltStack блокиран за надворешни барања од заштитниот ѕид - напаѓачот мораше да чека да се појави критична ранливост во SaltStack и да ја искористи пред администраторите да инсталираат ажурирање со поправка. На сите корисници на SaltStack им се препорачува итно да ги ажурираат своите системи и да проверат дали има знаци на хакирање.
Очигледно, нападите преку SaltStack не беа ограничени на хакирање на LineageOS и станаа широко распространети - во текот на денот, разни корисници кои немаа време да го ажурираат SaltStack идентификување на компромисот на нивните инфраструктури со поставување на код за рударство или задни врати на серверите. Вклучувајќи ги за слично хакирање на инфраструктурата на системот за управување со содржина , што влијаеше на веб-локациите и наплатата на Ghost(Pro) (се тврди дека броевите на кредитните картички не биле засегнати, но хашовите на лозинките на корисниците на Ghost би можеле да паднат во рацете на напаѓачите).
Беа 29 април Ажурирања на платформата SaltStack и , во која беа елиминирани (информациите за ранливостите се објавени на 30 април), на кои им е доделен највисок степен на опасност, бидејќи се без автентикација далечинско извршување на кодот и на контролниот хост (salt-master) и на сите сервери управувани преку него.
- Првата ранливост () е предизвикано од недостаток на соодветни проверки при повикување методи од класата ClearFuncs во процесот на сол-мастер. Ранливоста му овозможува на далечинскиот корисник да пристапи до одредени методи без автентикација. Вклучувајќи и преку проблематични методи, напаѓачот може да добие токен за пристап со права на root до главниот сервер и да изврши какви било команди на сервираните хостови на кои работи демонот . Закрпата што ја елиминира оваа ранливост беше Пред 20 дена, но по употребата се појавија , што доведува до неуспеси и нарушување на синхронизацијата на датотеките.
- Втора ранливост () овозможува, преку манипулации со класата ClearFuncs, да се добие пристап до методите со пренесување на одреден начин форматирани патеки, кои можат да се користат за целосен пристап до произволни директориуми во FS на главниот сервер со права на root, но бара автентициран пристап ( таков пристап може да се добие со користење на првата ранливост и да се користи втората ранливост за целосно компромитирање на целата инфраструктура).
Извор: opennet.ru