Desenvolvedores de plataformas móveis , que substituiu o CyanogenMod, sobre a identificação de vestígios de hacking na infraestrutura do projeto. Observa-se que às 6h (horário de Moscou) do dia 3 de maio, o invasor conseguiu obter acesso ao servidor principal do sistema centralizado de gerenciamento de configuração através da exploração de uma vulnerabilidade não corrigida. O incidente está sendo analisado e os detalhes ainda não estão disponíveis.
só que o ataque não afetou as chaves de geração de assinaturas digitais, o sistema de montagem e o código-fonte da plataforma - as chaves em hosts completamente separados da infraestrutura principal gerenciada pelo SaltStack, e as compilações foram interrompidas por motivos técnicos em 30 de abril. A julgar pelas informações na página Os desenvolvedores já restauraram o servidor com o sistema de revisão de código Gerrit, o site e o wiki. O servidor com assemblies (builds.lineageos.org), o portal de download de arquivos (download.lineageos.org), os servidores de e-mail e o sistema de coordenação de encaminhamento para espelhos permanecem desabilitados.
O ataque foi possível devido ao fato da porta de rede (4506) de acesso ao SaltStack bloqueado para solicitações externas pelo firewall - o invasor teve que esperar que uma vulnerabilidade crítica no SaltStack aparecesse e explorá-la antes que os administradores instalassem uma atualização com uma correção. Todos os usuários do SaltStack são aconselhados a atualizar urgentemente seus sistemas e verificar se há sinais de hacking.
Aparentemente, os ataques via SaltStack não se limitaram a hackear o LineageOS e se espalharam - durante o dia, vários usuários que não tiveram tempo de atualizar o SaltStack identificando o comprometimento de suas infraestruturas com a colocação de código de mineração ou backdoors em servidores. Incluindo sobre um hacking semelhante da infraestrutura do sistema de gerenciamento de conteúdo , que afetou os sites e o faturamento do Ghost (Pro) (alega-se que os números de cartão de crédito não foram afetados, mas os hashes de senha dos usuários do Ghost podem cair nas mãos de invasores).
29 de abril foram Atualizações da plataforma SaltStack и , em que foram eliminados (as informações sobre as vulnerabilidades foram publicadas em 30 de abril), às quais é atribuído o maior nível de perigo, por não possuírem autenticação execução remota de código tanto no host de controle (salt-master) quanto em todos os servidores gerenciados por ele.
- Primeira vulnerabilidade () é causado pela falta de verificações adequadas ao chamar métodos da classe ClearFuncs no processo salt-master. A vulnerabilidade permite que um usuário remoto acesse determinados métodos sem autenticação. Inclusive por meio de métodos problemáticos, um invasor pode obter um token para acesso com direitos de root ao servidor mestre e executar quaisquer comandos nos hosts servidos nos quais o daemon está sendo executado . O patch que elimina esta vulnerabilidade foi 20 dias atrás, mas depois de usá-lo eles surgiram , levando a falhas e interrupção da sincronização de arquivos.
- Segunda vulnerabilidade () permite, por meio de manipulações com a classe ClearFuncs, obter acesso a métodos passando caminhos formatados de uma determinada forma, que podem ser utilizados para acesso total a diretórios arbitrários no FS do servidor mestre com direitos de root, mas requer acesso autenticado ( tal acesso pode ser obtido usando a primeira vulnerabilidade e usar a segunda vulnerabilidade para comprometer completamente toda a infraestrutura).
Fonte: opennet.ru