Pembangun platform mudah alih , yang menggantikan CyanogenMod, tentang mengenal pasti kesan penggodaman infrastruktur projek. Adalah diperhatikan bahawa pada jam 6 pagi (MSK) pada 3 Mei, penyerang berjaya mendapatkan akses ke pelayan utama sistem pengurusan konfigurasi berpusat melalui eksploitasi kelemahan yang tidak dapat ditambal. Insiden itu sedang dianalisis dan butirannya belum tersedia.
cuma serangan itu tidak menjejaskan kunci untuk menjana tandatangan digital, sistem pemasangan dan kod sumber platform - kunci pada hos berasingan sepenuhnya daripada infrastruktur utama yang diuruskan melalui SaltStack, dan binaan telah dihentikan atas sebab teknikal pada 30 April. Berdasarkan maklumat pada halaman Pembangun telah pun memulihkan pelayan dengan sistem semakan kod Gerrit, tapak web dan wiki. Pelayan dengan pemasangan (builds.lineageos.org), portal untuk memuat turun fail (download.lineageos.org), pelayan mel dan sistem untuk menyelaraskan pemajuan ke cermin kekal dilumpuhkan.
Serangan itu dimungkinkan disebabkan oleh fakta bahawa port rangkaian (4506) untuk mengakses SaltStack disekat untuk permintaan luaran oleh tembok api - penyerang terpaksa menunggu kerentanan kritikal dalam SaltStack muncul dan mengeksploitasinya sebelum pentadbir memasang kemas kini dengan pembetulan. Semua pengguna SaltStack dinasihatkan untuk mengemas kini sistem mereka dengan segera dan menyemak tanda-tanda penggodaman.
Nampaknya, serangan melalui SaltStack tidak terhad kepada menggodam LineageOS dan menjadi meluas - pada siang hari, pelbagai pengguna yang tidak mempunyai masa untuk mengemas kini SaltStack mengenal pasti kompromi infrastruktur mereka dengan penempatan kod perlombongan atau pintu belakang pada pelayan. termasuk mengenai penggodaman serupa terhadap infrastruktur sistem pengurusan kandungan , yang menjejaskan tapak web dan pengebilan Ghost(Pro) (ia didakwa bahawa nombor kad kredit tidak terjejas, tetapi cincang kata laluan pengguna Ghost boleh jatuh ke tangan penyerang).
29 April adalah Kemas kini platform SaltStack ΠΈ , di mana mereka telah disingkirkan (maklumat tentang kelemahan telah diterbitkan pada 30 April), yang diberikan tahap bahaya tertinggi, kerana ia tanpa pengesahan pelaksanaan kod jauh kedua-dua pada hos kawalan (salt-master) dan pada semua pelayan yang diuruskan melaluinya.
- Kerentanan pertama () disebabkan oleh kekurangan pemeriksaan yang betul semasa memanggil kaedah kelas ClearFuncs dalam proses induk garam. Kerentanan membolehkan pengguna jauh mengakses kaedah tertentu tanpa pengesahan. Termasuk melalui kaedah yang bermasalah, penyerang boleh mendapatkan token untuk akses dengan hak akar kepada pelayan induk dan menjalankan sebarang arahan pada hos yang dihidangkan di mana daemon sedang berjalan. . Tampalan yang menghapuskan kelemahan ini ialah 20 hari yang lalu, tetapi selepas menggunakannya ia muncul , membawa kepada kegagalan dan gangguan penyegerakan fail.
- Kerentanan kedua () membenarkan, melalui manipulasi dengan kelas ClearFuncs, untuk mendapatkan akses kepada kaedah dengan menghantar laluan berformat cara tertentu, yang boleh digunakan untuk akses penuh kepada direktori sewenang-wenang dalam FS pelayan induk dengan hak akar, tetapi memerlukan akses yang disahkan ( akses tersebut boleh diperoleh menggunakan kelemahan pertama dan menggunakan kelemahan kedua untuk menjejaskan sepenuhnya keseluruhan infrastruktur).
Sumber: opennet.ru