Розробники мобільної платформи , що прийшов на зміну CyanogenMod, про виявлення слідів злому інфраструктури проекту Зазначається, що о 6 годині ранку (MSK) 3 травня атакуючому вдалося отримати доступ до основного сервера системи централізованого керування конфігурацією. через експлуатацію непоправної вразливості. На даний момент йде розбір інциденту і подробиці поки недоступні.
тільки, що атака не торкнулася ключів для формування цифрових підписів, системи складання та вихідних текстів платформи — ключі на хостах, повністю відокремлених від основної інфраструктури, керованої через SaltStack, а зборки було зупинено з технічних причин 30 квітня. Судячи з даних на сторінці розробники вже відновили сервер із системою рецензування коду Gerrit, сайт та wiki. Відключеними залишаються сервер зі складаннями (builds.lineageos.org), портал для завантаження файлів (download.lineageos.org), поштові сервери та система координації прокидання на дзеркала.
Атака стала можливою завдяки тому, що мережевий порт (4506) для доступу до SaltStack блокований для зовнішніх запитів міжмережевим екраном - атакуючому залишалося дочекатися появи критичної вразливості SaltStack і експлуатувати її до того, як адміністратори встановлять оновлення з виправленням. Всім користувачам SaltStack рекомендується терміново оновити свої системи та перевірити наявність слідів злому.
Зважаючи на все, атаки через SaltStack не обмежилася зломом LineageOS і набули масового характеру — протягом дня різні користувачі, які не встигли оновити SaltStack, виявлення компрометації своїх інфраструктур із розміщенням на серверах коду для майнінгу або бекдорів. В тому числі про аналогічний злам інфраструктури системи управління контентом , який торкнувся сайтів Ghost(Pro) та білінгу (стверджується, що номери кредитних карток не постраждали, але хеші паролів користувачів Ghost могли потрапити до рук атакуючих).
29 квітня були оновлення платформи SaltStack и , в яких були усунені (відомості про вразливості було опубліковано 30 квітня), яким присвоєно найвищий рівень небезпеки, оскільки вони без проходження аутентифікації дистанційне виконання коду як на керуючому хості (salt-master), так і всіх керованих через нього серверах.
- Перша вразливість () викликана відсутністю належних перевірок під час виклику методів класу ClearFuncs у процесі salt-master. Вразливість дозволяє видаленому користувачеві отримати доступ до деяких методів без автентифікації. У тому числі через проблемні методи атакуючий може отримати токен для доступу з правами root до master-сервера і запустити будь-які команди на хостах, на яких запущений демон. . Патч з усуненням цієї вразливості був 20 днів тому, але після його застосування спливали , що призводять до збоїв та порушення синхронізації файлів.
- Друга вразливість () дозволяє через маніпуляції з класом ClearFuncs отримати доступ до методів через передачу певним чином оформлених шляхів, що може використовуватися для повного доступу до довільних каталогів у ФС master-сервера з правами root, але вимагає наявності автентифікованого доступу (такий доступ можна отримати за допомогою першої вразливості та використовувати другу вразливість для повної компрометації усієї інфраструктури).
Джерело: opennet.ru