行動平台開發商 ,取代了 CyanogenMod, 關於辨識專案基礎設施的駭客痕跡。 值得注意的是,6月3日早上XNUMX點(MSK),攻擊者成功獲得了集中配置管理系統主伺服器的存取權限 透過利用未修補的漏洞。 目前正在對事件進行分析,詳細資訊尚未公佈。
只是這次攻擊沒有影響產生數位簽章的金鑰、彙編系統和平台的原始碼——金鑰 在完全獨立於透過 SaltStack 管理的主要基礎設施的主機上,並且由於技術原因於 30 月 XNUMX 日停止了建置。 從頁面資訊來看 開發人員已經使用 Gerrit 程式碼審查系統、網站和 wiki 恢復了伺服器。 包含組件的伺服器 (builds.lineageos.org)、下載檔案的入口網站 (download.lineageos.org)、郵件伺服器和協調轉送至鏡像的系統仍處於停用狀態。
由於存取SaltStack的網路連接埠(4506) 防火牆阻止外部請求 - 攻擊者必須等待 SaltStack 中的關鍵漏洞出現並利用它,然後管理員才能安裝帶有修復程式的更新。 建議所有 SaltStack 用戶緊急更新其係統並檢查是否有駭客攻擊的跡象。
顯然,透過 SaltStack 的攻擊不僅限於駭客 LineageOS,而且變得很普遍 - 白天,各種沒有時間更新 SaltStack 的用戶 透過在伺服器上放置挖掘程式碼或後門來識別其基礎設施受到的損害。 包括 關於內容管理系統基礎設施的類似駭客攻擊 ,這影響了 Ghost(Pro) 網站和計費(據稱信用卡號不受影響,但 Ghost 用戶的密碼雜湊可能落入攻擊者手中)。
29月XNUMX日是 SaltStack平台更新 и ,其中他們被淘汰了 (有關漏洞的資訊已於 30 月 XNUMX 日發布),由於未經身份驗證,因此被分配最高危險級別 在控制主機(salt-master)和透過它管理的所有伺服器上遠端執行程式碼。
- 第一個漏洞()是由於在 salt-master 進程中呼叫 ClearFuncs 類別的方法時缺乏適當的檢查而導致的。 該漏洞允許遠端用戶無需身份驗證即可存取某些方法。 包括透過有問題的方法,攻擊者可以獲得主伺服器根權限存取的令牌,並在執行守護程式的服務主機上執行任何命令 。 消除該漏洞的補丁是 20天前,但使用後又出現了 ,導致文件同步失敗和中斷。
- 第二個漏洞()允許透過使用ClearFuncs 類別進行操作,透過以某種方式傳遞格式化路徑來獲取對方法的存取權限,該路徑可用於以root 權限完全存取主伺服器FS 中的任意目錄,但需要經過身份驗證的訪問(可以使用第一個漏洞來獲得此類存取權限,並使用第二個漏洞來完全破壞整個基礎設施)。
來源: opennet.ru