Ontwikkelaars van mobiele platforms , die CyanogenMod verving, over het identificeren van sporen van hacking van de projectinfrastructuur. Opgemerkt wordt dat de aanvaller op 6 mei om 3 uur (MSK) erin slaagde toegang te krijgen tot de hoofdserver van het gecentraliseerde configuratiebeheersysteem. door misbruik te maken van een niet-gepatchte kwetsbaarheid. Het incident wordt momenteel geanalyseerd en details zijn nog niet beschikbaar.
alleen dat de aanval geen invloed had op de sleutels voor het genereren van digitale handtekeningen, het assemblagesysteem en de broncode van het platform – de sleutels op hosts die volledig gescheiden zijn van de hoofdinfrastructuur die via SaltStack wordt beheerd, en de builds werden om technische redenen op 30 april stopgezet. Afgaande op de informatie op de pagina De ontwikkelaars hebben de server met het Gerrit code review systeem, de website en de wiki al hersteld. De server met assemblies (builds.lineageos.org), de portal voor het downloaden van bestanden (download.lineageos.org), mailservers en het systeem voor het coördineren van het doorsturen naar mirrors blijven uitgeschakeld.
De aanval werd mogelijk gemaakt vanwege het feit dat de netwerkpoort (4506) toegang gaf tot SaltStack geblokkeerd voor externe verzoeken door de firewall - de aanvaller moest wachten tot een kritieke kwetsbaarheid in SaltStack verscheen en deze misbruiken voordat beheerders een update met een oplossing installeerden. Alle SaltStack-gebruikers wordt geadviseerd om hun systemen dringend bij te werken en te controleren op tekenen van hacking.
Blijkbaar bleven de aanvallen via SaltStack niet beperkt tot het hacken van LineageOS, maar raakten ze wijdverspreid - gedurende de dag hadden verschillende gebruikers geen tijd om SaltStack bij te werken het identificeren van het compromitteren van hun infrastructuur door het plaatsen van mining-code of backdoors op servers. Inbegrepen over een soortgelijke hacking van de infrastructuur van het contentmanagementsysteem , die gevolgen had voor Ghost(Pro)-websites en facturering (er wordt beweerd dat creditcardnummers niet werden beïnvloed, maar de wachtwoord-hashes van Ghost-gebruikers zouden in handen van aanvallers kunnen vallen).
29 april was SaltStack-platformupdates и , waarin ze werden geëlimineerd (informatie over de kwetsbaarheden is gepubliceerd op 30 april), die het hoogste risiconiveau hebben gekregen, omdat ze geen authenticatie hebben uitvoering van code op afstand, zowel op de besturingshost (saltmaster) als op alle servers die erdoor worden beheerd.
- Eerste kwetsbaarheid () wordt veroorzaakt door een gebrek aan goede controles bij het aanroepen van methoden van de ClearFuncs-klasse in het salt-master-proces. Door het beveiligingslek kan een externe gebruiker zonder authenticatie toegang krijgen tot bepaalde methoden. Onder meer via problematische methoden kan een aanvaller een token verkrijgen voor toegang met rootrechten tot de hoofdserver en alle opdrachten uitvoeren op de bediende hosts waarop de daemon draait . De patch die dit beveiligingslek elimineerde was 20 dagen geleden, maar na gebruik kwamen ze boven , wat leidt tot storingen en verstoring van de bestandssynchronisatie.
- Tweede kwetsbaarheid () maakt het, door middel van manipulaties met de ClearFuncs-klasse, mogelijk om toegang te krijgen tot methoden door op een bepaalde manier geformatteerde paden door te geven, die kunnen worden gebruikt voor volledige toegang tot willekeurige mappen in de FS van de masterserver met rootrechten, maar vereist geverifieerde toegang ( Dergelijke toegang kan worden verkregen door gebruik te maken van de eerste kwetsbaarheid en de tweede kwetsbaarheid te gebruiken om de gehele infrastructuur volledig in gevaar te brengen).
Bron: opennet.ru