Zhvilluesit e platformave celulare , i cili zëvendësoi CyanogenMod, për identifikimin e gjurmëve të hakerimit të infrastrukturës së projektit. Vihet re se në orën 6 të mëngjesit (MSK) më 3 maj, sulmuesi arriti të fitonte akses në serverin kryesor të sistemit të centralizuar të menaxhimit të konfigurimit nëpërmjet shfrytëzimit të një cenueshmërie të parregulluar. Ngjarja aktualisht është duke u analizuar dhe ende nuk ka detaje.
vetëm se sulmi nuk ndikoi në çelësat për gjenerimin e nënshkrimeve dixhitale, sistemin e montimit dhe kodin burimor të platformës - çelësat në host plotësisht të ndarë nga infrastruktura kryesore e menaxhuar përmes SaltStack dhe ndërtimet u ndaluan për arsye teknike më 30 prill. Duke gjykuar nga informacioni në faqe Zhvilluesit e kanë restauruar tashmë serverin me sistemin e rishikimit të kodit Gerrit, faqen e internetit dhe wiki-n. Serveri me asamble (builds.lineageos.org), portali për shkarkimin e skedarëve (download.lineageos.org), serverët e postës dhe sistemi për koordinimin e përcjelljes në pasqyra mbeten të çaktivizuara.
Sulmi u bë i mundur për shkak të faktit se porti i rrjetit (4506) për të hyrë në SaltStack bllokuar për kërkesat e jashtme nga muri i zjarrit - sulmuesi duhej të priste që të shfaqej një cenueshmëri kritike në SaltStack dhe ta shfrytëzonte atë përpara se administratorët të instalonin një përditësim me një rregullim. Të gjithë përdoruesit e SaltStack këshillohen që të përditësojnë urgjentisht sistemet e tyre dhe të kontrollojnë për shenja hakerimi.
Me sa duket, sulmet përmes SaltStack nuk u kufizuan vetëm në hakimin e LineageOS dhe u përhapën - gjatë ditës, përdorues të ndryshëm që nuk kishin kohë për të përditësuar SaltStack identifikimi i komprometimit të infrastrukturave të tyre me vendosjen e kodit të minierave ose të prapavijave në serverë. duke përfshirë rreth një hakerimi të ngjashëm të infrastrukturës së sistemit të menaxhimit të përmbajtjes , e cila preku faqet e internetit të Ghost(Pro) dhe faturimin (pretendohet se numrat e kartave të kreditit nuk u prekën, por hash-et e fjalëkalimeve të përdoruesve të Ghost mund të bien në duart e sulmuesve).
29 Prill ishin Përditësimet e platformës SaltStack и , në të cilën u eliminuan (informacionet për dobësitë u publikuan më 30 prill), të cilave u është caktuar niveli më i lartë i rrezikut, pasi ato janë pa vërtetim ekzekutimi i kodit në distancë si në hostin e kontrollit (salt-master) ashtu edhe në të gjithë serverët e menaxhuar përmes tij.
- cenueshmëria e parë () shkaktohet nga mungesa e kontrolleve të duhura gjatë thirrjes së metodave të klasës ClearFuncs në procesin salt-master. Dobësia lejon një përdorues të largët të aksesojë disa metoda pa vërtetim. Përfshirë përmes metodave problematike, një sulmues mund të marrë një token për qasje me të drejta rrënjësore në serverin kryesor dhe të ekzekutojë çdo komandë në hostet e shërbyer në të cilat po ekzekuton demon . Arnimi që eliminonte këtë dobësi ishte 20 ditë më parë, por pas përdorimit të tij dolën në sipërfaqe , duke çuar në dështime dhe ndërprerje të sinkronizimit të skedarëve.
- cenueshmëria e dytë () lejon, përmes manipulimeve me klasën ClearFuncs, të fitojë qasje në metoda duke kaluar në një mënyrë të caktuar shtigje të formatuara, të cilat mund të përdoren për akses të plotë në drejtoritë arbitrare në FS të serverit master me të drejta rrënjësore, por kërkon qasje të vërtetuar ( një akses i tillë mund të merret duke përdorur cenueshmërinë e parë dhe të përdorë cenueshmërinë e dytë për të komprometuar plotësisht të gjithë infrastrukturën).
Burimi: opennet.ru