Twórcy platform mobilnych , który zastąpił CyanogenMod, o identyfikację śladów włamań do infrastruktury projektu. Należy zauważyć, że 6 maja o godzinie 3:XNUMX (MSK) atakującemu udało się uzyskać dostęp do głównego serwera scentralizowanego systemu zarządzania konfiguracją poprzez wykorzystanie niezałatanej luki w zabezpieczeniach. Zdarzenie jest obecnie analizowane i szczegóły nie są jeszcze znane.
tyle tylko, że atak nie wpłynął na klucze służące do generowania podpisów cyfrowych, system montażu oraz kod źródłowy platformy – klucze na hostach całkowicie oddzielonych od głównej infrastruktury zarządzanej przez SaltStack, a kompilacje zostały zatrzymane z powodów technicznych 30 kwietnia. Sądząc po informacjach na stronie Twórcy przywrócili już serwer z systemem przeglądu kodu Gerrit, stroną internetową i wiki. Serwer z złożeniami (builds.lineageos.org), portal do pobierania plików (download.lineageos.org), serwery pocztowe i system koordynacji przesyłania do serwerów lustrzanych pozostają wyłączone.
Atak był możliwy dzięki wykorzystaniu portu sieciowego (4506) umożliwiającego dostęp do SaltStack zablokowany dla żądań zewnętrznych przez zaporę ogniową - osoba atakująca musiała poczekać, aż pojawi się krytyczna luka w SaltStack i wykorzystać ją, zanim administratorzy zainstalowali aktualizację z poprawką. Wszystkim użytkownikom SaltStack zaleca się pilną aktualizację swoich systemów i sprawdzenie, czy nie występują oznaki włamań.
Najwyraźniej ataki za pośrednictwem SaltStack nie ograniczały się do włamania do LineageOS i stały się powszechne - w ciągu dnia różni użytkownicy, którzy nie mieli czasu na aktualizację SaltStack identyfikowanie kompromisu w ich infrastrukturze poprzez umieszczenie kodu wydobywczego lub backdoorów na serwerach. W tym o podobnym włamaniu do infrastruktury systemu zarządzania treścią , co wpłynęło na strony internetowe Ghost(Pro) i płatności (uważa się, że nie miało to wpływu na numery kart kredytowych, ale skróty haseł użytkowników Ghost mogły wpaść w ręce atakujących).
29 kwietnia były Aktualizacje platformy SaltStack и , w którym zostali wyeliminowani (informacja o podatnościach została opublikowana 30 kwietnia), którym przypisuje się najwyższy poziom zagrożenia, gdyż nie posiadają one uwierzytelnienia zdalne wykonanie kodu zarówno na hoście kontrolnym (salt-master), jak i na wszystkich zarządzanych przez niego serwerach.
- Pierwsza luka () wynika z braku odpowiednich kontroli przy wywoływaniu metod klasy ClearFuncs w procesie salt-master. Luka umożliwia zdalnemu użytkownikowi dostęp do niektórych metod bez uwierzytelniania. W tym za pomocą problematycznych metod osoba atakująca może uzyskać token umożliwiający dostęp z uprawnieniami roota do serwera głównego i uruchomić dowolne polecenia na obsługiwanych hostach, na których działa demon . Łatka eliminująca tę lukę to 20 dni temu, ale po użyciu wyszły na powierzchnię , co prowadzi do awarii i zakłóceń synchronizacji plików.
- Druga luka () pozwala, poprzez manipulację klasą ClearFuncs, uzyskać dostęp do metod poprzez przekazanie w określony sposób sformatowanych ścieżek, które można wykorzystać do pełnego dostępu do dowolnych katalogów w FS serwera master z uprawnieniami roota, ale wymaga uwierzytelnionego dostępu ( taki dostęp można uzyskać wykorzystując pierwszą podatność i wykorzystać drugą podatność do całkowitego naruszenia całej infrastruktury).
Źródło: opennet.ru