Mobilplattformutviklere , som erstattet CyanogenMod, om å identifisere spor etter hacking av prosjektets infrastruktur. Det bemerkes at kl. 6 (MSK) 3. mai klarte angriperen å få tilgang til hovedserveren til det sentraliserte konfigurasjonsstyringssystemet gjennom utnyttelse av en uopprettet sårbarhet. Hendelsen blir nå analysert og detaljer er foreløpig ikke tilgjengelige.
bare at angrepet ikke påvirket nøklene for å generere digitale signaturer, monteringssystemet og kildekoden til plattformen - nøklene på verter helt atskilt fra hovedinfrastrukturen administrert gjennom SaltStack, og byggingene ble stoppet av tekniske årsaker 30. april. Etter informasjonen på siden å dømme Utviklerne har allerede gjenopprettet serveren med Gerrit-kodegjennomgangssystemet, nettstedet og wikien. Serveren med samlinger (builds.lineageos.org), portalen for nedlasting av filer (download.lineageos.org), e-postservere og systemet for koordinering av videresending til speil forblir deaktivert.
Angrepet ble gjort mulig på grunn av det faktum at nettverksporten (4506) for tilgang til SaltStack blokkert for eksterne forespørsler av brannmuren - angriperen måtte vente på at en kritisk sårbarhet i SaltStack skulle dukke opp og utnytte den før administratorer installerte en oppdatering med en rettelse. Alle SaltStack-brukere rådes til å raskt oppdatere systemene sine og se etter tegn på hacking.
Angrep via SaltStack var tydeligvis ikke begrenset til å hacke LineageOS og ble utbredt - i løpet av dagen, ulike brukere som ikke hadde tid til å oppdatere SaltStack identifisere kompromitteringen av deres infrastrukturer med plassering av gruvekode eller bakdører på servere. Gjelder også om en lignende hacking av innholdsstyringssystemets infrastruktur , som påvirket Ghost(Pro)-nettsteder og fakturering (det hevdes at kredittkortnumre ikke ble påvirket, men passord-hashene til Ghost-brukere kan falle i hendene på angripere).
29. april var SaltStack-plattformoppdateringer и , der de ble eliminert (informasjon om sårbarhetene ble publisert 30. april), som er tildelt det høyeste farenivået, siden de er uten autentisering ekstern kjøring av kode både på kontrollverten (salt-master) og på alle servere som administreres gjennom den.
- Første sårbarhet () er forårsaket av mangel på riktige kontroller ved oppkalling av metoder for ClearFuncs-klassen i salt-master-prosessen. Sårbarheten lar en ekstern bruker få tilgang til visse metoder uten autentisering. Inkludert gjennom problematiske metoder, kan en angriper få et token for tilgang med rotrettigheter til hovedserveren og kjøre alle kommandoer på de serverte vertene som daemonen kjører på . Patchen som eliminerte dette sikkerhetsproblemet var 20 dager siden, men etter bruk dukket de opp , som fører til feil og forstyrrelser i filsynkroniseringen.
- Andre sårbarhet () tillater, gjennom manipulasjoner med ClearFuncs-klassen, å få tilgang til metoder ved å sende på en bestemt måte formaterte baner, som kan brukes for full tilgang til vilkårlige kataloger i FS-en til masterserveren med rotrettigheter, men krever autentisert tilgang ( slik tilgang kan oppnås ved å bruke den første sårbarheten og bruke den andre sårbarheten til å kompromittere hele infrastrukturen fullstendig).
Kilde: opennet.ru