Програмери мобилних платформи , који је заменио ЦианогенМод, о идентификовању трагова хаковања пројектне инфраструктуре. Напомиње се да је 6. маја у 3 сати (МСК) нападач успео да приступи главном серверу централизованог система за управљање конфигурацијом. кроз искоришћавање незакрпљене рањивости. Инцидент се тренутно анализира и детаљи још нису доступни.
само што напад није утицао на кључеве за генерисање дигиталних потписа, систем за склапање и изворни код платформе – кључеве на хостовима потпуно одвојеним од главне инфраструктуре којом се управља преко СалтСтацк-а, а изградња је заустављена из техничких разлога 30. априла. Судећи по информацијама на страници Програмери су већ вратили сервер са Геррит системом за преглед кода, веб локацију и вики. Сервер са склоповима (буилдс.линеагеос.орг), портал за преузимање датотека (довнлоад.линеагеос.орг), сервери поште и систем за координацију прослеђивања на огледала остају онемогућени.
Напад је омогућен због чињенице да је мрежни порт (4506) за приступ СалтСтацк-у блокиран за спољне захтеве од стране заштитног зида - нападач је морао да сачека да се појави критична рањивост у СалтСтацк-у и да је искористи пре него што администратори инсталирају ажурирање са исправком. Свим корисницима СалтСтацк-а се саветује да хитно ажурирају своје системе и провере да ли има знакова хаковања.
Очигледно, напади преко СалтСтацк-а нису били ограничени на хаковање ЛинеагеОС-а и постали су широко распрострањени - током дана су разни корисници који нису имали времена да ажурирају СалтСтацк идентификовање компромитовања њихове инфраструктуре постављањем кода за рударење или бацкдоор-а на серверима. Укључујући о сличном хаковању инфраструктуре система за управљање садржајем , што је утицало на Гхост(Про) веб-сајтове и наплату (тврди се да бројеви кредитних картица нису погођени, али би хешови лозинки Гхост корисника могли пасти у руке нападача).
29. априла били су Ажурирања платформе СалтСтацк и , у којој су елиминисани (информација о рањивости је објављена 30. априла), којима је додељен највиши степен опасности, јер су без аутентификације даљинско извршавање кода како на контролном хосту (салт-мастер) тако и на свим серверима којима се управља преко њега.
- Прва рањивост () је узроковано недостатком одговарајућих провера приликом позивања метода класе ЦлеарФунцс у процесу соли-мастер. Рањивост омогућава удаљеном кориснику да приступи одређеним методама без аутентификације. Укључујући и проблематичне методе, нападач може добити токен за приступ са роот правима главном серверу и покренути све команде на опслуживаним хостовима на којима демон ради . Закрпа која елиминише ову рањивост је била Пре 20 дана, али након употребе испливале су на површину , што доводи до кварова и прекида синхронизације датотека.
- Друга рањивост () омогућава, кроз манипулације са ЦлеарФунцс класом, приступ методама пропуштањем на одређени начин форматираних путања, које се могу користити за пун приступ произвољним директоријумима у ФС главног сервера са роот правима, али захтева аутентификован приступ ( такав приступ се може добити коришћењем прве рањивости и користити другу рањивост за потпуно компромитовање целокупне инфраструктуре).
Извор: опеннет.ру