Vývojári mobilných platforiem , ktorý nahradil CyanogenMod, o identifikácii stôp po hackovaní infraštruktúry projektu. Je potrebné poznamenať, že 6. mája o 3:XNUMX (MSK) sa útočníkovi podarilo získať prístup k hlavnému serveru centralizovaného systému riadenia konfigurácie. prostredníctvom využitia neopravenej zraniteľnosti. Incident sa momentálne analyzuje a podrobnosti zatiaľ nie sú k dispozícii.
len to, že útok neovplyvnil kľúče na generovanie digitálnych podpisov, montážny systém a zdrojový kód platformy – kľúče na hostiteľoch úplne oddelených od hlavnej infraštruktúry spravovanej cez SaltStack a zostavy boli z technických dôvodov zastavené 30. apríla. Súdiac podľa informácií na stránke Vývojári už obnovili server so systémom kontroly kódu Gerrit, webovú stránku a wiki. Server so zostavami (builds.lineageos.org), portál na sťahovanie súborov (download.lineageos.org), poštové servery a systém na koordináciu preposielania na zrkadlá zostávajú vypnuté.
Útok bol možný vďaka tomu, že sieťový port (4506) pre prístup k SaltStack zablokované pre externé požiadavky bránou firewall – útočník musel počkať, kým sa objaví kritická zraniteľnosť v SaltStack a zneužiť ju, kým správcovia nainštalujú aktualizáciu s opravou. Všetkým používateľom SaltStack sa odporúča, aby urýchlene aktualizovali svoje systémy a skontrolovali známky hackovania.
Zdá sa, že útoky cez SaltStack sa neobmedzovali len na hackovanie LineageOS a stali sa rozšírenými - počas dňa rôzni používatelia, ktorí nestihli aktualizovať SaltStack identifikácia ohrozenia ich infraštruktúry umiestnením ťažobného kódu alebo zadných vrátok na servery. Počítajúc do toho o podobnom hacknutí infraštruktúry redakčného systému , ktorá ovplyvnila webové stránky Ghost(Pro) a fakturáciu (tvrdí sa, že čísla kreditných kariet neboli ovplyvnené, ale hash hesiel používateľov Ghost by sa mohol dostať do rúk útočníkov).
29. apríla boli Aktualizácie platformy SaltStack и , v ktorej boli vyradení (informácie o zraniteľnostiach boli zverejnené 30. apríla), ktorým je priradený najvyšší stupeň nebezpečenstva, keďže sú bez overenia vzdialené spustenie kódu na riadiacom hostiteľovi (salt-master) a na všetkých serveroch riadených prostredníctvom neho.
- Prvá zraniteľnosť () je spôsobené nedostatkom správnych kontrol pri volaní metód triedy ClearFuncs v procese salt-master. Zraniteľnosť umožňuje vzdialenému používateľovi prístup k určitým metódam bez overenia totožnosti. Vrátane problematických metód môže útočník získať token na prístup s právami root na hlavný server a spustiť ľubovoľné príkazy na obsluhovaných hostiteľoch, na ktorých je spustený démon. . Oprava eliminujúca túto zraniteľnosť bola Pred 20 dňami, ale po použití sa objavili , čo vedie k zlyhaniam a narušeniu synchronizácie súborov.
- Druhá zraniteľnosť () umožňuje prostredníctvom manipulácií s triedou ClearFuncs získať prístup k metódam prechodom určitým spôsobom naformátovaných ciest, ktoré možno použiť na plný prístup k ľubovoľným adresárom vo FS hlavného servera s právami root, ale vyžaduje si overený prístup ( takýto prístup je možné získať pomocou prvej zraniteľnosti a pomocou druhej zraniteľnosti úplne kompromitovať celú infraštruktúru).
Zdroj: opennet.ru