Razvijalci mobilnih platform , ki je nadomestil CyanogenMod, o prepoznavanju sledi vdorov v infrastrukturo projekta. Opozoriti je treba, da je 6. maja ob 3. uri (MSK) napadalcu uspelo pridobiti dostop do glavnega strežnika centraliziranega sistema za upravljanje konfiguracije. z izkoriščanjem nepopravljene ranljivosti. Incident trenutno analizirajo, podrobnosti pa še niso na voljo.
le da napad ni prizadel ključev za generiranje digitalnih podpisov, sistema sestavljanja in izvorne kode platforme – ključev na gostiteljih, ki so popolnoma ločeni od glavne infrastrukture, upravljane prek SaltStacka, gradnje pa so bile zaradi tehničnih razlogov ustavljene 30. aprila. Sodeč po informacijah na strani Razvijalci so že obnovili strežnik s sistemom za pregled kode Gerrit, spletno stran in wiki. Onemogočeni ostajajo strežnik s sklopi (builds.lineageos.org), portal za prenos datotek (download.lineageos.org), poštni strežniki in sistem za usklajevanje posredovanja na zrcala.
Napad je bil mogoč zaradi dejstva, da so omrežna vrata (4506) za dostop do SaltStack požarni zid blokira za zunanje zahteve - napadalec je moral počakati, da se pojavi kritična ranljivost v SaltStacku in jo izkoristiti, preden so skrbniki namestili posodobitev s popravkom. Vsem uporabnikom SaltStacka svetujemo, da nujno posodobijo svoje sisteme in preverijo znake vdora.
Očitno napadi prek SaltStacka niso bili omejeni na vdiranje v LineageOS in so postali zelo razširjeni - čez dan so različni uporabniki, ki niso imeli časa posodobiti SaltStacka ugotavljanje ogroženosti njihovih infrastruktur z umestitvijo rudarske kode ali stranskih vrat na strežnike. Vključno o podobnem vdoru v infrastrukturo sistema za upravljanje vsebin , kar je vplivalo na spletna mesta Ghost(Pro) in zaračunavanje (trdi se, da to ni vplivalo na številke kreditnih kartic, vendar bi lahko zgoščene vrednosti gesel uporabnikov Ghost prišle v roke napadalcem).
29. aprila so bili Posodobitve platforme SaltStack и , v kateri so izpadli (podatki o ranljivostih so bili objavljeni 30. aprila), ki jim je dodeljena najvišja stopnja nevarnosti, saj so brez avtentikacije. oddaljeno izvajanje kode tako na nadzornem gostitelju (salt-master) kot na vseh strežnikih, ki se upravljajo preko njega.
- Prva ranljivost () je posledica pomanjkanja ustreznih preverjanj pri klicanju metod razreda ClearFuncs v procesu salt-master. Ranljivost omogoča oddaljenemu uporabniku dostop do določenih metod brez preverjanja pristnosti. Vključno s problematičnimi metodami lahko napadalec pridobi žeton za dostop s korenskimi pravicami do glavnega strežnika in izvaja vse ukaze na serviranih gostiteljih, na katerih se izvaja demon . Popravek, ki odpravlja to ranljivost, je bil Pred 20 dnevi, vendar so se po uporabi pojavile , kar vodi do napak in motenj sinhronizacije datotek.
- Druga ranljivost () omogoča z manipulacijo z razredom ClearFuncs dostop do metod s posredovanjem na določen način oblikovanih poti, ki se lahko uporabijo za popoln dostop do poljubnih imenikov v FS glavnega strežnika s korenskimi pravicami, vendar zahteva overjen dostop ( tak dostop je mogoče pridobiti z uporabo prve ranljivosti in uporabiti drugo ranljivost za popolno ogrožanje celotne infrastrukture).
Vir: opennet.ru