Разработчици на мобилната платформа LineageOS (този, който замени CyanogenMod) предупредиха те относно идентификацията от следи, останали от неоторизиран достъп до вашата инфраструктура. Забелязва се, че в 6 часа сутринта (MSK) на 3 май, нападателят успя да получи достъп до основния сървър на централизираната система за управление на конфигурацията на SaltStack чрез експлоатация на уязвимостта, която досега не е била коригирана.
Съобщава се само, че атаката не е повлияла ключовете за генериране на цифрови подписи, системата за изграждане и изходния код на платформата. Ключовете бяха поставени на хост, напълно отделен от основната инфраструктура, управлявана чрез SaltStack, и събранията бяха спрени по технически причини на 30 април.
Съдейки по данните на страницата status.lineageos.org, разработчиците вече са възстановили сървъра със системата за преглед на кода на Gerrit, уебсайт и wiki. Сървъри с компилации (builds.lineageos.org), изтегляне портал на файлове (download.lineageos.org), пощенски сървъри и система за координиране на препращането към огледала в момента са деактивирани.
Относно решението
На 29 април беше пусната актуализация от платформата SaltStack 3000.2 и четири дни по-късно (2 май) две уязвимости бяха елиминирани.
Проблемът се крие в която от докладваните уязвимости един беше публикуван на 30 април и му беше определено най-високото ниво на опасност (тук значението на публикуването на информацията няколко дни или седмици след откриването и пускането на корекции или корекции на грешки).
Тъй като грешката позволява на неудостоверен потребител да изпълнява дистанционно изпълнение на код като контролиращ хост (master-master) и всички сървъри, управлявани чрез него.
Атаката стана възможна поради факта, че мрежовият порт 4506 (за достъп до SaltStack) не беше блокиран от защитната стена за външни заявки и в който нападателят трябваше да изчака да действа, преди разработчиците на Lineage SaltStack и ekspluatarovat да се опитат да инсталират актуализация за коригиране на повредата.
На всички потребители на SaltStack се препоръчва да актуализират спешно своите системи и да проверят за признаци на хакерство.
очевидно, атаките чрез SaltStack не бяха ограничени само до засягане на LineageOS и стана широко разпространена през деня, няколко потребители, които нямаха време да актуализират SaltStack, забелязаха, че тяхната инфраструктура е компрометирана от копаенето на хостинг код или задните врати.
Той също така съобщава за подобен хак инфраструктурата на системата за управление на съдържанието Дух, каквоТова засегна сайтовете на Ghost (Pro) и фактурирането (Твърди се, че номерата на кредитните карти не се влияят, но хешовете на паролите на потребителите на Ghost могат да попаднат в ръцете на нападателите).
- Първата уязвимост (CVE-2020-11651) причинено е от липсата на правилни проверки при извикване на методите на класа ClearFuncs в процеса на мастер-солта. Уязвимостта позволява на отдалечен потребител достъп до определени методи без удостоверяване. По-специално, чрез проблематични методи, нападателят може да получи маркер за корен достъп до главния сървър и да изпълни всяка команда на обслужваните хостове, които изпълняват демона Salt-Minion. Преди 20 дни беше пуснат пластир, който коригира тази уязвимост, но след появата на приложението му имаше обратни промени, които предизвикаха прекъсвания и прекъсвания на синхронизирането на файлове.
- Втората уязвимост (CVE-2020-11652) позволява чрез манипулации с класа ClearFuncs достъп до методи чрез прехвърляне на пътища, определени по определен начин, който може да се използва за пълен достъп до произволни директории на FS на главния сървър с root права, но изисква удостоверен достъп ( такъв достъп може да бъде получен с помощта на първата уязвимост и използването на втората уязвимост, за да компрометира напълно цялата инфраструктура).