مطورو منصة الهاتف المحمول LineageOS (الذي حل محل CyanogenMod) حذروا حول تحديد الهوية من الآثار المتبقية من الوصول غير المصرح به إلى البنية التحتية الخاصة بك. يُلاحظ أنه في الساعة 6 صباحًا (MSK) يوم 3 مايو ، تمكن المهاجم من الوصول إلى الخادم الرئيسي من نظام إدارة التكوين المركزي SaltStack من خلال استغلال الثغرة الأمنية التي لم يتم تصحيحها حتى الآن.
يذكر فقط أن الهجوم لم يؤثر مفاتيح إنشاء التوقيعات الرقمية ، نظام البناء وكود المصدر للنظام الأساسي. تم وضع المفاتيح على مضيف منفصل تمامًا عن البنية التحتية الرئيسية المدارة من خلال SaltStack وتم إيقاف التجميعات لأسباب فنية في 30 أبريل.
انطلاقًا من البيانات الموجودة على صفحة status.lineageos.org ، قام المطورون بالفعل باستعادة الخادم باستخدام نظام مراجعة الكود الخاص بـ Gerrit وموقع الويب وويكي. الخوادم مع البنيات (builds.lineageos.org) ، فإن بوابة التنزيل عدد الملفات (download.lineageos.org)، خوادم البريد ونظام لتنسيق إعادة التوجيه إلى المرايا معطلة حاليا.
عن الحكم
تم إصدار تحديث في 29 أبريل من منصة SaltStack 3000.2 وبعد أربعة أيام (2 مايو) تم القضاء على اثنين من نقاط الضعف.
المشكلة تكمن في أي من نقاط الضعف التي تم الإبلاغ عنها ، تم نشر واحدة في 30 أبريل وتم تصنيفها على أعلى مستوى من الخطر (وهنا تكمن أهمية نشر المعلومات بعد عدة أيام أو أسابيع من اكتشافها وإصدار التصحيحات أو التصحيحات).
نظرًا لأن الخلل يسمح لمستخدم غير مصدق بتنفيذ التعليمات البرمجية عن بُعد باعتباره المضيف المتحكم (سيد الملح) ويتم إدارة جميع الخوادم من خلاله.
أصبح الهجوم ممكنًا بسبب حقيقة أن منفذ الشبكة 4506 (للوصول إلى SaltStack) لم يتم حظره بواسطة جدار الحماية للطلبات الخارجية والتي كان على المهاجم أن ينتظر فيها التصرف قبل أن يحاول مطورو Lineage SaltStack و ekspluatarovat التثبيت تحديث لتصحيح الفشل.
يُنصح جميع مستخدمي SaltStack بتحديث أنظمتهم على وجه السرعة والتحقق من علامات القرصنة.
على ما يبدو ، لم تقتصر الهجمات عبر SaltStack على التأثير على LineageOS وانتشر على نطاق واسع خلال اليوم ، لاحظ العديد من المستخدمين الذين لم يكن لديهم الوقت لتحديث SaltStack أن البنى التحتية الخاصة بهم قد تعرضت للخطر من خلال رمز استضافة التعدين أو الأبواب الخلفية.
كما أبلغ عن اختراق مماثل على البنية التحتية لنظام إدارة المحتوى شبح ، ماذالقد أثرت على مواقع Ghost (Pro) والفواتير (يُزعم أن أرقام بطاقات الائتمان لم تتأثر ، ولكن تجزئة كلمة المرور لمستخدمي Ghost قد تقع في أيدي المهاجمين).
- الثغرة الأولى (CVE-2020-11651) إنه ناتج عن عدم وجود فحوصات مناسبة عند استدعاء طرق فئة ClearFuncs في عملية الملح الرئيسية. تسمح الثغرة الأمنية للمستخدم البعيد بالوصول إلى طرق معينة بدون مصادقة. على وجه الخصوص ، من خلال الأساليب الإشكالية ، يمكن للمهاجم الحصول على رمز مميز للوصول إلى الجذر إلى الخادم الرئيسي وتنفيذ أي أمر على المضيفين المقدمين الذين يقومون بتشغيل البرنامج الخفي لـ Salt-minion. تم إصدار تصحيح قبل 20 يومًا يعمل على إصلاح هذه الثغرة الأمنية ، ولكن بعد ظهور تطبيقه ، كانت هناك تغييرات عكسية تسببت في تعطل مزامنة الملفات وانقطاعاتها.
- الثغرة الثانية (CVE-2020-11652) يسمح ، من خلال التلاعب بفئة ClearFuncs ، بالوصول إلى الطرق من خلال نقل المسارات المحددة بطريقة معينة ، والتي يمكن استخدامها للوصول الكامل إلى الأدلة التعسفية على FS للخادم الرئيسي بامتيازات الجذر ، ولكنها تتطلب وصولاً مصدقًا ( يمكن الحصول على مثل هذا الوصول باستخدام الثغرة الأمنية الأولى واستخدام الثغرة الثانية لتعريض البنية التحتية بالكامل للخطر تمامًا).