Mobil platform geliştiricileri CyanogenMod'un yerini alan, proje altyapısının hacklenmesine ilişkin izlerin belirlenmesi hakkında. Saldırganın 6 Mayıs sabah saat 3'da (MSK) merkezi konfigürasyon yönetim sisteminin ana sunucusuna erişim sağlamayı başardığı kaydedildi. yamalanmamış bir güvenlik açığından yararlanılarak. Olay şu anda analiz ediliyor ve ayrıntılar henüz mevcut değil.
yalnızca saldırının dijital imza oluşturma anahtarlarını, montaj sistemini ve platformun kaynak kodunu (anahtarlar) etkilemediği SaltStack aracılığıyla yönetilen ana altyapıdan tamamen ayrı ana bilgisayarlarda kurulumlar 30 Nisan'da teknik nedenlerden dolayı durduruldu. Sayfadaki bilgilere bakılırsa Geliştiriciler, Gerrit kod inceleme sistemi, web sitesi ve wiki ile sunucuyu zaten geri yüklediler. Montajların bulunduğu sunucu (builds.lineageos.org), dosyaları indirme portalı (download.lineageos.org), posta sunucuları ve aynalara iletmeyi koordine etme sistemi devre dışı kalır.
Saldırı, SaltStack'e erişim için ağ bağlantı noktasının (4506) kullanılması nedeniyle mümkün oldu. güvenlik duvarı tarafından harici istekler için engellendi - saldırganın, yöneticilerin düzeltme içeren bir güncelleme yüklemesinden önce SaltStack'te kritik bir güvenlik açığının ortaya çıkmasını beklemesi ve bu güvenlik açığından yararlanması gerekiyordu. Tüm SaltStack kullanıcılarının sistemlerini acilen güncellemeleri ve bilgisayar korsanlığı belirtilerini kontrol etmeleri tavsiye edilir.
Görünüşe göre, SaltStack üzerinden yapılan saldırılar LineageOS'u hacklemekle sınırlı kalmadı ve yaygınlaştı - gün içinde SaltStack'i güncellemeye vakti olmayan çeşitli kullanıcılar Sunuculara madencilik kodu veya arka kapı yerleştirilmesiyle altyapılarının tehlikeye atılmasının belirlenmesi. İçermek içerik yönetim sistemi altyapısının benzer bir şekilde hacklenmesi hakkında Ghost(Pro) web sitelerini ve faturalandırmayı etkileyen (kredi kartı numaralarının etkilenmediği ancak Ghost kullanıcılarının şifre karmalarının saldırganların eline geçebileceği iddia ediliyor).
29 Nisan vardı SaltStack platformu güncellemeleri и elendiler (güvenlik açıklarına ilişkin bilgi 30 Nisan'da yayınlandı), kimlik doğrulaması yapılmadığı için en yüksek tehlike düzeyine atanan hem kontrol ana bilgisayarında (salt-master) hem de onun üzerinden yönetilen tüm sunucularda uzaktan kod yürütme.
- İlk güvenlik açığı () salt-master işleminde ClearFuncs sınıfının yöntemleri çağrılırken uygun kontrollerin yapılmamasından kaynaklanır. Güvenlik açığı, uzaktaki bir kullanıcının kimlik doğrulaması olmadan belirli yöntemlere erişmesine olanak tanır. Saldırgan, sorunlu yöntemler de dahil olmak üzere, ana sunucuya kök haklarıyla erişim için bir belirteç elde edebilir ve arka plan programının çalıştığı ana sunucularda herhangi bir komutu çalıştırabilir. . Bu güvenlik açığını ortadan kaldıran yama şuydu: 20 gün önce ama kullandıktan sonra ortaya çıktılar , dosya senkronizasyonunun bozulmasına ve bozulmasına neden olur.
- İkinci güvenlik açığı (), ClearFuncs sınıfıyla yapılan manipülasyonlar yoluyla, ana sunucunun FS'sindeki isteğe bağlı dizinlere kök haklarıyla tam erişim için kullanılabilen, ancak kimlik doğrulamalı erişim gerektiren, belirli bir şekilde biçimlendirilmiş yolları geçirerek yöntemlere erişim elde edilmesine olanak tanır ( bu tür bir erişim, ilk güvenlik açığı kullanılarak elde edilebilir ve ikinci güvenlik açığı tüm altyapıyı tamamen tehlikeye atmak için kullanılabilir).
Kaynak: opennet.ru