Dezvoltatori de platforme mobile , care a înlocuit CyanogenMod, despre identificarea urmelor de piratare a infrastructurii proiectului. Se observă că la ora 6 a.m. (MSK) pe 3 mai, atacatorul a reușit să obțină acces la serverul principal al sistemului de management al configurației centralizate. prin exploatarea unei vulnerabilități nepattchizate. Incidentul este în prezent analizat și detaliile nu sunt încă disponibile.
doar că atacul nu a afectat cheile pentru generarea semnăturilor digitale, sistemul de asamblare și codul sursă al platformei - cheile pe gazde complet separate de infrastructura principală gestionată prin SaltStack, iar construcțiile au fost oprite din motive tehnice pe 30 aprilie. Judecând după informațiile de pe pagină Dezvoltatorii au restaurat deja serverul cu sistemul de revizuire a codului Gerrit, site-ul web și wiki. Serverul cu ansambluri (builds.lineageos.org), portalul de descărcare a fișierelor (download.lineageos.org), serverele de mail și sistemul de coordonare a redirecționării către oglinzi rămân dezactivate.
Atacul a fost posibil datorită faptului că portul de rețea (4506) pentru accesarea SaltStack blocat pentru cereri externe de către firewall - atacatorul a trebuit să aștepte să apară o vulnerabilitate critică în SaltStack și să o exploateze înainte ca administratorii să instaleze o actualizare cu o remediere. Toți utilizatorii SaltStack sunt sfătuiți să-și actualizeze urgent sistemele și să verifice semnele de hacking.
Aparent, atacurile prin SaltStack nu s-au limitat la hacking LineageOS și s-au răspândit - în timpul zilei, diverși utilizatori care nu au avut timp să actualizeze SaltStack identificarea compromisului infrastructurilor lor cu plasarea de coduri miniere sau backdoors pe servere. Inclusiv despre o piratare similară a infrastructurii sistemului de management al conținutului , care a afectat site-urile web și facturarea Ghost(Pro) (se pretinde că numerele cardurilor de credit nu au fost afectate, dar hash-urile parolelor utilizatorilor Ghost ar putea cădea în mâinile atacatorilor).
29 aprilie au fost Actualizări ale platformei SaltStack и , în care au fost eliminate (informațiile despre vulnerabilități au fost publicate pe 30 aprilie), cărora li se atribuie cel mai înalt nivel de pericol, deoarece sunt fără autentificare executarea codului de la distanță atât pe gazda de control (salt-master), cât și pe toate serverele gestionate prin intermediul acesteia.
- Prima vulnerabilitate () este cauzată de lipsa verificărilor adecvate la apelarea metodelor clasei ClearFuncs în procesul salt-master. Vulnerabilitatea permite unui utilizator de la distanță să acceseze anumite metode fără autentificare. Inclusiv prin metode problematice, un atacator poate obține un token pentru acces cu drepturi root la serverul principal și poate rula orice comenzi pe gazdele servite pe care rulează demonul . Patch-ul care elimină această vulnerabilitate a fost Acum 20 de zile, dar după ce l-am folosit au ieșit la suprafață , ceea ce duce la eșecuri și întreruperea sincronizării fișierelor.
- A doua vulnerabilitate () permite, prin manipulări cu clasa ClearFuncs, să se obțină acces la metode prin trecerea într-un anumit fel de căi formatate, care pot fi folosite pentru acces deplin la directoare arbitrare din FS-ul serverului master cu drepturi root, dar necesită acces autentificat ( un astfel de acces poate fi obținut folosind prima vulnerabilitate și folosiți a doua vulnerabilitate pentru a compromite complet întreaga infrastructură).
Sursa: opennet.ru