移动平台开发商 ,取代了 CyanogenMod, 关于识别项目基础设施的黑客痕迹。 值得注意的是,6月3日早上XNUMX点(MSK),攻击者成功获得了集中配置管理系统主服务器的访问权限 通过利用未修补的漏洞。 目前正在对事件进行分析,详细信息尚未公布。
只是这次攻击没有影响生成数字签名的密钥、汇编系统和平台的源代码——密钥 在完全独立于通过 SaltStack 管理的主要基础设施的主机上,并且由于技术原因于 30 月 XNUMX 日停止了构建。 从页面信息来看 开发人员已经使用 Gerrit 代码审查系统、网站和 wiki 恢复了服务器。 包含程序集的服务器 (builds.lineageos.org)、下载文件的门户 (download.lineageos.org)、邮件服务器和协调转发到镜像的系统仍处于禁用状态。
由于访问SaltStack的网络端口(4506) 防火墙阻止外部请求 - 攻击者必须等待 SaltStack 中的关键漏洞出现并利用它,然后管理员才能安装带有修复程序的更新。 建议所有 SaltStack 用户紧急更新其系统并检查是否有黑客攻击的迹象。
显然,通过 SaltStack 的攻击不仅限于黑客 LineageOS,而且变得很普遍 - 白天,各种没有时间更新 SaltStack 的用户 通过在服务器上放置挖掘代码或后门来识别其基础设施受到的损害。 包括 关于内容管理系统基础设施的类似黑客攻击 ,这影响了 Ghost(Pro) 网站和计费(据称信用卡号不受影响,但 Ghost 用户的密码哈希可能落入攻击者手中)。
29月XNUMX日是 SaltStack平台更新 и ,其中他们被淘汰了 (有关漏洞的信息已于 30 月 XNUMX 日发布),由于未经身份验证,因此被分配最高危险级别 在控制主机(salt-master)和通过它管理的所有服务器上远程执行代码。
- 第一个漏洞()是由于在 salt-master 进程中调用 ClearFuncs 类的方法时缺乏适当的检查而导致的。 该漏洞允许远程用户无需身份验证即可访问某些方法。 包括通过有问题的方法,攻击者可以获得主服务器根权限访问的令牌,并在运行守护程序的服务主机上运行任何命令 。 消除该漏洞的补丁是 20天前,但使用后又出现了 ,导致文件同步失败和中断。
- 第二个漏洞()允许通过使用 ClearFuncs 类进行操作,通过以某种方式传递格式化路径来获取对方法的访问权限,该路径可用于以 root 权限完全访问主服务器 FS 中的任意目录,但需要经过身份验证的访问(可以使用第一个漏洞获得此类访问权限,并使用第二个漏洞来完全破坏整个基础设施)。
来源: opennet.ru