โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > แฮ็กโครงสร้างพื้นฐาน LineageOS ผ่านช่องโหว่ใน SaltStack

แฮ็กโครงสร้างพื้นฐาน LineageOS ผ่านช่องโหว่ใน SaltStack

นักพัฒนาแพลตฟอร์มมือถือ LineageOSซึ่งเข้ามาแทนที่ CyanogenMod เตือน เกี่ยวกับการระบุร่องรอยการแฮ็กโครงสร้างพื้นฐานของโครงการ สังเกตว่าเวลา 6 น. (MSK) ของวันที่ 3 พฤษภาคม ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์หลักของระบบจัดการการกำหนดค่าแบบรวมศูนย์ได้ SaltStack ผ่านการใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการติดตั้ง ขณะนี้เหตุการณ์ดังกล่าวอยู่ระหว่างการวิเคราะห์และยังไม่มีรายละเอียด

รายงานแล้ว เพียงแต่ว่าการโจมตีไม่ส่งผลกระทบต่อคีย์สำหรับการสร้างลายเซ็นดิจิทัล ระบบแอสเซมบลี และซอร์สโค้ดของแพลตฟอร์ม - คีย์ ตั้งอยู่ บนโฮสต์ที่แยกจากโครงสร้างพื้นฐานหลักที่จัดการผ่าน SaltStack โดยสิ้นเชิง และบิลด์ถูกหยุดเนื่องจากเหตุผลทางเทคนิคในวันที่ 30 เมษายน ตัดสินจากข้อมูลในเพจ status.lineageos.org นักพัฒนาได้กู้คืนเซิร์ฟเวอร์ด้วยระบบตรวจสอบโค้ด Gerrit เว็บไซต์ และวิกิแล้ว เซิร์ฟเวอร์ที่มีแอสเซมบลี (builds.lineageos.org) พอร์ทัลสำหรับการดาวน์โหลดไฟล์ (download.lineageos.org) เมลเซิร์ฟเวอร์ และระบบสำหรับการประสานงานการส่งต่อไปยังมิเรอร์ยังคงปิดใช้งานอยู่

การโจมตีเกิดขึ้นได้เนื่องจากพอร์ตเครือข่าย (4506) สำหรับการเข้าถึง SaltStack ไม่ใช่ ถูกบล็อกสำหรับคำขอภายนอกโดยไฟร์วอลล์ - ผู้โจมตีต้องรอให้ช่องโหว่ร้ายแรงใน SaltStack ปรากฏขึ้นและหาประโยชน์ก่อนที่ผู้ดูแลระบบจะติดตั้งการอัปเดตพร้อมการแก้ไข ผู้ใช้ SaltStack ทุกคนควรอัปเดตระบบอย่างเร่งด่วน และตรวจสอบสัญญาณของการแฮ็ก

เห็นได้ชัดว่าการโจมตีผ่าน SaltStack ไม่ได้จำกัดอยู่เพียงการแฮ็ก LineageOS และแพร่หลาย - ในระหว่างวัน ผู้ใช้หลายคนที่ไม่มีเวลาอัปเดต SaltStack เครื่องหมาย ระบุการประนีประนอมของโครงสร้างพื้นฐานด้วยการวางโค้ดการขุดหรือแบ็คดอร์บนเซิร์ฟเวอร์ รวมทั้ง сообщается เกี่ยวกับการแฮ็กโครงสร้างพื้นฐานระบบการจัดการเนื้อหาที่คล้ายกัน ผีซึ่งส่งผลกระทบต่อเว็บไซต์และการเรียกเก็บเงินของ Ghost(Pro) (อ้างว่าหมายเลขบัตรเครดิตไม่ได้รับผลกระทบ แต่แฮชรหัสผ่านของผู้ใช้ Ghost อาจตกไปอยู่ในมือของผู้โจมตี)

วันที่ 29 เมษายน เป็น การเผยแพร่ อัพเดตแพลตฟอร์ม SaltStack 3000.2 и 2019.2.4ซึ่งพวกเขาถูกกำจัดออกไป ช่องโหว่สองรายการ (ข้อมูลเกี่ยวกับช่องโหว่เผยแพร่เมื่อวันที่ 30 เมษายน) ซึ่งได้รับการกำหนดระดับอันตรายสูงสุดเนื่องจากไม่มีการตรวจสอบสิทธิ์ อนุญาต การเรียกใช้โค้ดจากระยะไกลทั้งบนโฮสต์ควบคุม (salt-master) และบนเซิร์ฟเวอร์ทั้งหมดที่จัดการผ่านโฮสต์นั้น

  • ช่องโหว่แรก (CVE-2020-11651) เกิดจากการขาดการตรวจสอบที่เหมาะสมเมื่อเรียกใช้เมธอดของคลาส ClearFuncs ในกระบวนการ salt-master ช่องโหว่นี้ทำให้ผู้ใช้ระยะไกลสามารถเข้าถึงวิธีการบางอย่างได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ รวมถึงด้วยวิธีการที่เป็นปัญหา ผู้โจมตีสามารถรับโทเค็นสำหรับการเข้าถึงด้วยสิทธิ์รูทไปยังเซิร์ฟเวอร์หลัก และเรียกใช้คำสั่งใด ๆ บนโฮสต์ที่ให้บริการซึ่ง daemon กำลังทำงานอยู่ ลูกน้องเกลือ. แพตช์ที่ช่วยขจัดช่องโหว่นี้ก็คือ การตีพิมพ์ เมื่อ 20 วันก่อน แต่หลังจากใช้แล้วมันก็โผล่ขึ้นมา ถอยหลัง การเปลี่ยนแปลงนำไปสู่ความล้มเหลวและการหยุดชะงักของการซิงโครไนซ์ไฟล์
  • ช่องโหว่ที่สอง (CVE-2020-11652) อนุญาตให้เข้าถึงวิธีการต่างๆ ผ่านการปรับแต่งด้วยคลาส ClearFuncs ผ่านเส้นทางที่จัดรูปแบบแล้ว ซึ่งสามารถใช้เพื่อเข้าถึงไดเร็กทอรีโดยพลการใน FS ของเซิร์ฟเวอร์หลักด้วยสิทธิ์รูท แต่ต้องมีการเข้าถึงที่ได้รับการรับรองความถูกต้อง ( การเข้าถึงดังกล่าวสามารถทำได้โดยใช้ช่องโหว่แรก และใช้ช่องโหว่ที่สองเพื่อประนีประนอมโครงสร้างพื้นฐานทั้งหมดโดยสมบูรณ์)

ที่มา: opennet.ru

เพิ่มความคิดเห็น