Mobilplattformsutvecklare , som ersatte CyanogenMod, om att identifiera spår av hackning av projektets infrastruktur. Det noteras att kl. 6 (MSK) den 3 maj lyckades angriparen få tillgång till huvudservern för det centraliserade konfigurationshanteringssystemet genom utnyttjande av en oparpad sårbarhet. Händelsen analyseras för närvarande och detaljer är ännu inte tillgängliga.
bara att attacken inte påverkade nycklarna för att generera digitala signaturer, monteringssystemet och källkoden för plattformen - nycklarna på värdar helt separata från huvudinfrastrukturen som hanteras genom SaltStack, och byggen stoppades av tekniska skäl den 30 april. Att döma av informationen på sidan Utvecklarna har redan återställt servern med Gerrit kodgranskningssystem, webbplatsen och wikin. Servern med sammansättningar (builds.lineageos.org), portalen för nedladdning av filer (download.lineageos.org), e-postservrar och systemet för koordinering av vidarebefordran till speglar förblir inaktiverade.
Attacken möjliggjordes på grund av att nätverksporten (4506) för åtkomst till SaltStack blockerad för externa förfrågningar av brandväggen - angriparen var tvungen att vänta på att en kritisk sårbarhet i SaltStack skulle dyka upp och utnyttja den innan administratörer installerade en uppdatering med en fix. Alla SaltStack-användare uppmanas att omedelbart uppdatera sina system och leta efter tecken på hackning.
Uppenbarligen var attacker via SaltStack inte begränsade till att hacka LineageOS och blev utbredda - under dagen har olika användare som inte hunnit uppdatera SaltStack identifiera kompromissen med deras infrastrukturer med placering av gruvkod eller bakdörrar på servrar. Inklusive om ett liknande hackande av innehållshanteringssystemets infrastruktur , som påverkade Ghost(Pro)-webbplatser och fakturering (det påstås att kreditkortsnummer inte påverkades, men lösenordshascharna för Ghost-användare kan falla i händerna på angripare).
29 april var SaltStack-plattformsuppdateringar и , där de eliminerades (information om sårbarheterna publicerades den 30 april), som tilldelas den högsta risknivån, eftersom de är utan autentisering fjärrkörning av kod både på kontrollvärden (salt-master) och på alla servrar som hanteras genom den.
- Första sårbarheten () orsakas av brist på korrekta kontroller när metoder i ClearFuncs-klassen anropas i salt-master-processen. Sårbarheten tillåter en fjärranvändare att komma åt vissa metoder utan autentisering. Inklusive genom problematiska metoder kan en angripare få en token för åtkomst med roträttigheter till huvudservern och köra alla kommandon på de serverade värddatorerna som demonen körs på . Patchen som eliminerade denna sårbarhet var 20 dagar sedan, men efter att ha använt det dök de upp , vilket leder till fel och störningar i filsynkroniseringen.
- Andra sårbarheten () tillåter, genom manipulationer med ClearFuncs-klassen, att få tillgång till metoder genom att skicka på ett visst sätt formaterade sökvägar, som kan användas för full åtkomst till godtyckliga kataloger i FS för masterservern med roträttigheter, men kräver autentiserad åtkomst ( sådan åtkomst kan erhållas genom att använda den första sårbarheten och använda den andra sårbarheten för att fullständigt äventyra hela infrastrukturen).
Källa: opennet.ru