Programeri mobilne platforme LineageOS (onaj koji je zamijenio CyanogenMod) upozorili su o identifikaciji tragova koji su ostali od neovlaštenog pristupa vašoj infrastrukturi. Primjećuje se da je u 6 sati ujutro (MSK) 3. maja, napadač je uspio dobiti pristup glavnom serveru SaltStack centraliziranog sistema upravljanja konfiguracijom iskorištavanjem ranjivosti koja do sada nije zakrpana.
Samo se izvještava da napad nije utjecao ključevi za generisanje digitalnih potpisa, sistem gradnje i izvorni kod platforme. Ključevi su postavljeni na host potpuno odvojen od glavne infrastrukture kojom se upravlja putem SaltStacka, a sklopovi su zaustavljeni iz tehničkih razloga 30. aprila.
Sudeći prema podacima na stranici status.lineageos.org, programeri su već obnovili server pomoću Gerrit-ovog sistema za pregled koda, web stranice i wikija. Poslužitelji sa buildovima (builds.lineageos.org), portal za preuzimanje datoteke (download.lineageos.org), serveri za poštu i sistem za koordinaciju prosljeđivanja na ogledala trenutno su onemogućeni.
O presudi
Ažuriranje je objavljeno 29. aprila platforme SaltStack 3000.2 i četiri dana kasnije (2. maja) eliminirane su dvije ranjivosti.
Problem je u tome u kojoj su od ranjivosti koje su prijavljene, jedan je objavljen 30. aprila i određen mu je najviši nivo opasnosti (ovdje je važnost objavljivanja informacija nekoliko dana ili tjedana nakon otkrivanja i objavljivanja zakrpa ili ispravki programskih pogrešaka).
Budući da greška omogućava neautentiranom korisniku da izvrši daljinsko izvršavanje koda kao kontrolni host (master-sol) i svi serveri kojima se njime upravlja.
Napad je omogućila činjenica da mrežni priključak 4506 (za pristup SaltStacku) nije blokirao zaštitni zid za vanjske zahtjeve i u kojem je napadač morao pričekati da djeluje prije nego što će programeri Lineage SaltStack i ekspluatarovat pokušati instalirati ažuriranje za ispravljanje kvara.
Svim korisnicima SaltStacka savjetuje se da hitno ažuriraju svoje sisteme i provjere znakove hakiranja.
Izgleda, napadi putem SaltStacka nisu bili ograničeni samo na utjecaj na LineageOS i postala široko rasprostranjena tijekom dana, nekoliko korisnika koji nisu imali vremena za ažuriranje SaltStacka primijetili su da je njihova infrastruktura ugrožena rudarskim hosting kodom ili zadnjim vratima.
Takođe izvještava o sličnom hakiranju infrastruktura sistema za upravljanje sadržajem Duh, štaTo je utjecalo na web lokacije Ghost (Pro) i naplatu (navodno brojevi kreditnih kartica nisu bili pogođeni, ali heši lozinki korisnika Ghosta mogli bi pasti u ruke napadača).
- Prva ranjivost (CVE-2020-11651) uzrokovan je nedostatkom ispravnih provjera prilikom pozivanja metoda klase ClearFuncs u procesu master-soli. Ranjivost omogućava udaljenom korisniku pristup određenim metodama bez provjere autentičnosti. Konkretno, kroz problematične metode, napadač može dobiti token za root pristup glavnom poslužitelju i izvršiti bilo koju naredbu na posluženim hostovima koji pokreću demon-soli-miniona. Prije dvadeset dana objavljena je zakrpa koja popravlja ovu ranjivost, ali nakon što se pojavila njena aplikacija, uslijedile su promjene koje su uzrokovale zamrzavanje i prekid sinhronizacije datoteka.
- Druga ranjivost (CVE-2020-11652) omogućava, kroz manipulacije s klasom ClearFuncs, pristup metodama putem prijenosa staza definiranih na određeni način, koji se mogu koristiti za puni pristup proizvoljnim direktorijima na FS glavnog poslužitelja s root privilegijama, ali zahtijeva ovjereni pristup ( takav pristup se može dobiti korištenjem prve ranjivosti i korištenjem druge ranjivosti kako bi se u potpunosti kompromitirala cijela infrastruktura).