Mobilplattformsutvecklare , som ersatte CyanogenMod, om upptäckten av spår av hackning av projektets infrastruktur. Det noteras att angriparen klockan 6:3 (MSK) den XNUMX maj lyckades få tillgång till huvudservern i det centraliserade konfigurationshanteringssystemet. genom utnyttjande av en oparpad sårbarhet. Händelsen analyseras för närvarande och detaljer är ännu inte tillgängliga.
bara att attacken inte påverkade nycklarna för att generera digitala signaturer, monteringssystemet och källkoden för plattformen - nycklarna på värdar helt separata från huvudinfrastrukturen som hanteras genom SaltStack, och byggen stoppades av tekniska skäl den 30 april. Att döma av informationen på sidan Utvecklarna har redan återställt servern med Gerrit kodgranskningssystem, webbplatsen och wikin. Servern med sammansättningar (builds.lineageos.org), portalen för nedladdning av filer (download.lineageos.org), e-postservrar och systemet för koordinering av vidarebefordran till speglar förblir inaktiverade.
Attacken möjliggjordes på grund av att nätverksporten (4506) för åtkomst till SaltStack blockerad från externa förfrågningar av brandväggen - angriparen var tvungen att vänta på att en kritisk sårbarhet skulle dyka upp i SaltStack och utnyttja den innan administratörerna installerade en uppdatering med en korrigering. Alla SaltStack-användare rekommenderas att snarast uppdatera sina system och kontrollera om det finns tecken på hackning.
Uppenbarligen var attacker via SaltStack inte begränsade till att hacka LineageOS och blev utbredda - under dagen har olika användare som inte hunnit uppdatera SaltStack identifiera kompromissen med deras infrastrukturer med placering av gruvkod eller bakdörrar på servrar. Inklusive om ett liknande hackande av innehållshanteringssystemets infrastruktur , vilket påverkade Ghost(Pro)-webbplatser och fakturering (kreditkortsnummer sades vara opåverkade, men Ghost-användares lösenordshash kan ha hamnat i angriparnas händer).
29 april var SaltStack-plattformsuppdateringar и , där de eliminerades (information om sårbarheterna publicerades den 30 april), som tilldelas den högsta risknivån, eftersom de är utan autentisering fjärrkörning av kod både på kontrollvärden (salt-master) och på alla servrar som hanteras genom den.
- Första sårbarheten () orsakas av bristen på korrekta kontroller vid anrop av metoder i ClearFuncs-klassen i salt-master-processen. Sårbarheten gör det möjligt för en fjärranvändare att komma åt vissa metoder utan autentisering. I synnerhet kan en angripare genom problematiska metoder få en token för root-åtkomst till huvudservern och köra valfria kommandon på de värdar som servern körs på. . Patchen som eliminerade denna sårbarhet var 20 dagar sedan, men efter att ha använt det dök de upp , vilket leder till fel och störningar i filsynkroniseringen.
- Andra sårbarheten () tillåter, genom manipulationer med ClearFuncs-klassen, att få tillgång till metoder genom att skicka på ett visst sätt formaterade sökvägar, som kan användas för full åtkomst till godtyckliga kataloger i FS för masterservern med roträttigheter, men kräver autentiserad åtkomst (sådan åtkomst kan erhållas med den första sårbarheten och den andra sårbarheten kan användas för att fullständigt kompromissa).
Källa: opennet.ru
