Nhà phát triển nền tảng di động , thay thế CyanogenMod, về việc xác định dấu vết hack cơ sở hạ tầng của dự án. Được biết, vào lúc 6 giờ sáng (MSK) ngày 3/XNUMX, kẻ tấn công đã truy cập được vào máy chủ chính của hệ thống quản lý cấu hình tập trung. thông qua việc khai thác một lỗ hổng chưa được vá. Vụ việc hiện đang được phân tích và chưa có thông tin chi tiết.
chỉ có điều cuộc tấn công không ảnh hưởng đến các khóa tạo chữ ký số, hệ thống lắp ráp và mã nguồn của nền tảng - các khóa trên các máy chủ tách biệt hoàn toàn với cơ sở hạ tầng chính được quản lý thông qua SaltStack và các quá trình xây dựng đã bị dừng vì lý do kỹ thuật vào ngày 30 tháng XNUMX. Đánh giá theo thông tin trên trang Các nhà phát triển đã khôi phục máy chủ bằng hệ thống đánh giá mã Gerrit, trang web và wiki. Máy chủ có các tập hợp (builds.lineageos.org), cổng tải xuống tệp (download.lineageos.org), máy chủ thư và hệ thống phối hợp chuyển tiếp tới máy nhân bản vẫn bị vô hiệu hóa.
Cuộc tấn công có thể thực hiện được do cổng mạng (4506) để truy cập SaltStack bị tường lửa chặn các yêu cầu bên ngoài - kẻ tấn công phải đợi lỗ hổng nghiêm trọng trong SaltStack xuất hiện và khai thác nó trước khi quản trị viên cài đặt bản cập nhật có bản sửa lỗi. Tất cả người dùng SaltStack nên khẩn cấp cập nhật hệ thống của họ và kiểm tra các dấu hiệu bị hack.
Rõ ràng, các cuộc tấn công thông qua SaltStack không chỉ giới hạn ở việc hack LineageOS và trở nên phổ biến - vào ban ngày, nhiều người dùng không có thời gian cập nhật SaltStack xác định sự xâm phạm cơ sở hạ tầng của họ bằng việc đặt mã khai thác hoặc cửa hậu trên máy chủ. Bao gồm về một vụ hack tương tự vào cơ sở hạ tầng hệ thống quản lý nội dung , điều này đã ảnh hưởng đến các trang web và hoạt động thanh toán của Ghost(Pro) (người ta khẳng định rằng số thẻ tín dụng không bị ảnh hưởng, nhưng mật khẩu băm của người dùng Ghost có thể rơi vào tay những kẻ tấn công).
Ngày 29 tháng XNUMX là Cập nhật nền tảng SaltStack и , trong đó họ đã bị loại (thông tin về các lỗ hổng được công bố vào ngày 30 tháng XNUMX), được đánh giá ở mức độ nguy hiểm cao nhất vì chúng không có xác thực thực thi mã từ xa cả trên máy chủ điều khiển (salt-master) và trên tất cả các máy chủ được quản lý thông qua nó.
- Lỗ hổng đầu tiên () là do thiếu kiểm tra thích hợp khi gọi các phương thức của lớp ClearFuncs trong quy trình salt-master. Lỗ hổng cho phép người dùng từ xa truy cập một số phương thức nhất định mà không cần xác thực. Bao gồm thông qua các phương pháp có vấn đề, kẻ tấn công có thể lấy mã thông báo để truy cập với quyền root vào máy chủ chính và chạy bất kỳ lệnh nào trên các máy chủ được phục vụ mà daemon đang chạy trên đó . Bản vá loại bỏ lỗ hổng này là 20 ngày trước nhưng sau khi sử dụng thì chúng lại nổi lên , dẫn đến lỗi và gián đoạn quá trình đồng bộ hóa tệp.
- Lỗ hổng thứ hai () cho phép, thông qua các thao tác với lớp ClearFuncs, có được quyền truy cập vào các phương thức bằng cách chuyển các đường dẫn được định dạng theo một cách nhất định, có thể được sử dụng để truy cập đầy đủ vào các thư mục tùy ý trong FS của máy chủ chính có quyền root, nhưng yêu cầu quyền truy cập được xác thực ( quyền truy cập như vậy có thể có được bằng cách sử dụng lỗ hổng đầu tiên và sử dụng lỗ hổng thứ hai để xâm phạm hoàn toàn toàn bộ cơ sở hạ tầng).
Nguồn: opennet.ru