Mobil platforma ishlab chiquvchilari , CyanogenMod o'rnini egalladi, loyiha infratuzilmasini buzish izlarini aniqlash haqida. Qayd etilishicha, 6-may kuni ertalab soat 3 da (MSK) tajovuzkor markazlashtirilgan konfiguratsiyani boshqarish tizimining asosiy serveriga kirishga muvaffaq bo‘lgan. tuzatilmagan zaiflikdan foydalanish orqali. Hozirda hodisa tahlil qilinmoqda va tafsilotlar hozircha ma'lum emas.
faqat hujum raqamli imzolarni yaratish kalitlariga, yig'ish tizimiga va platformaning manba kodiga - kalitlarga ta'sir qilmadi SaltStack orqali boshqariladigan asosiy infratuzilmadan butunlay alohida xostlarda va qurilishlar 30 aprelda texnik sabablarga ko'ra to'xtatildi. Sahifadagi ma'lumotlarga ko'ra Ishlab chiquvchilar Gerrit kodini ko'rib chiqish tizimi, veb-sayt va wiki bilan serverni allaqachon tikladilar. Assambleyalari bo'lgan server (builds.lineageos.org), fayllarni yuklab olish portali (download.lineageos.org), pochta serverlari va ko'zgularga yo'naltirishni muvofiqlashtirish tizimi o'chirilgan.
Hujum SaltStack-ga kirish uchun tarmoq porti (4506) tufayli amalga oshirildi tashqi so‘rovlar uchun xavfsizlik devori tomonidan bloklangan – administratorlar tuzatish bilan yangilanishni o‘rnatishdan oldin tajovuzkor SaltStack’dagi muhim zaiflik paydo bo‘lishini kutishi va undan foydalanishi kerak edi. Barcha SaltStack foydalanuvchilariga o'z tizimlarini zudlik bilan yangilash va xakerlik belgilarini tekshirish tavsiya etiladi.
Ko'rinishidan, SaltStack orqali hujumlar LineageOS-ni buzish bilan cheklanib qolmadi va keng tarqaldi - kun davomida SaltStack-ni yangilashga ulgurmagan turli foydalanuvchilar. serverlarda tog'-kon kodini yoki orqa eshiklarni joylashtirish bilan ularning infratuzilmalarining murosaga kelishini aniqlash. Shu jumladan kontentni boshqarish tizimi infratuzilmasini xuddi shunday buzish haqida , bu Ghost(Pro) veb-saytlari va hisob-kitoblarga ta'sir qildi (kredit karta raqamlariga ta'sir qilmagani da'vo qilinadi, ammo Ghost foydalanuvchilarining parol xeshlari tajovuzkorlar qo'liga tushishi mumkin).
29 aprel edi SaltStack platformasi yangilanishlari и , unda ular yo'q qilindi (zaifliklar toʻgʻrisidagi maʼlumotlar 30-aprelda eʼlon qilingan), ular autentifikatsiya qilinmagani uchun xavfning eng yuqori darajasiga ega. boshqaruv hostida (salt-master) ham, u orqali boshqariladigan barcha serverlarda ham masofaviy kod bajarilishi.
- Birinchi zaiflik () tuz-master jarayonida ClearFuncs sinfining usullarini chaqirishda tegishli tekshiruvlarning yo'qligi tufayli yuzaga keladi. Zaiflik masofaviy foydalanuvchiga autentifikatsiyasiz ma'lum usullarga kirish imkonini beradi. Shu jumladan muammoli usullar orqali tajovuzkor asosiy serverga ildiz huquqlariga ega kirish uchun token olishi va demon ishlayotgan xizmat ko'rsatuvchi xostlarda istalgan buyruqlarni bajarishi mumkin. . Ushbu zaiflikni bartaraf qiluvchi yamoq edi 20 kun oldin, lekin uni ishlatishdan keyin ular yuzaga chiqdi , fayl sinxronizatsiyasining buzilishi va buzilishiga olib keladi.
- Ikkinchi zaiflik () ClearFuncs klassi bilan manipulyatsiyalar orqali ma'lum bir tarzda formatlangan yo'llarni o'tish orqali usullarga kirishga imkon beradi, ular asosiy serverning FS-dagi ixtiyoriy kataloglarga to'liq kirish uchun ishlatilishi mumkin, lekin autentifikatsiya qilingan kirishni talab qiladi ( bunday kirishni birinchi zaiflik yordamida olish mumkin va ikkinchi zaiflikdan butun infratuzilmani butunlay buzish uchun foydalaning).
Manba: opennet.ru