Els desenvolupadors de la plataforma mòbil LineageOS (La que va reemplaçar a Cyanogenmod) van advertir sobre la identificació de rastres deixats d'un accés no autoritzat en la seva infraestructura. S'observa que a les 6 en punt del matí (MSK) de el 3 de maig, l'atacant va aconseguir accedir a servidor principal de el sistema d'administració de configuració centralitzada SaltStack a través de l'explotació de la vulnerabilitat de la qual fins al moment no hi ha pegats.
Només s'informa que l'atac no va afectar les claus per generar signatures digitals, el sistema de compilació i el codi font de la plataforma. Les claus es van situar en un host completament separats de la infraestructura principal administrada a través de SaltStack i els encaixos es van aturar per raons tècniques el 30 d'abril.
A jutjar per les dades a la pàgina status.lineageos.org, els desenvolupadors ja han restaurat el servidor amb el sistema de revisió de codi, el lloc web i la wiki de Gerrit. Els servidors amb compilacions (Builds.lineageos.org), el portal per a la descàrrega d'arxius (download.lineageos.org), Servidors de correu i un sistema per coordinar el reenviament als miralls estan deshabilitats de moment.
Sobre la sentència
El 29 d'abril es va alliberar una actualització de la plataforma SaltStack 3000.2 i quatre dies després (El 2 de maig) van ser eliminades dues vulnerabilitats.
El problema radic en què, de les vulnerabilitats que es van informar, 30 es va publicar el XNUMX d'abril i va anar a la qual se li va assignar el més alt nivell de perill (Aquí la importància de publicar la informació diversos dies o setmanes després del seu descobriment i alliberament dels pegats o solucions de la decisió).
Ja que la decisió permet que un usuari sense autenticació, pugui realitzar l'execució remota de codi com l'amfitrió de control (salt-master) i tots els servidors administrats a través d'ell.
L'atac va ser possible pel fet que el port de xarxa 4506 (per accedir a la SaltStack) no va ser bloquejat pel tallafocs per a sol·licituds externes i en el qual l'atacant va haver d'esperar a actuar abans que els desenvolupadors de Lineage SaltStack i ekspluatarovat intentessin s'instal·lessin alguna actualització per corregir la sentència.
S'aconsella a tots els usuaris de SaltStack que s'actualitzin amb urgència els seus sistemes i verifiquin si hi ha signes de hackeig.
aparentment, els atacs a través d'SaltStack no es van limitar només a afectar LineageOS i es van generalitzar durant el dia, diversos usuaris que no van tenir temps d'actualitzar SaltStack van notar que les seves infraestructures estaven compromeses pel codi d'allotjament per mineria o portes posteriors.
També informa un hack similar a la infraestructura de sistema de gestió de continguts Fantasma, què?ue va afectar els llocs i la facturació de Ghost (Pro) (s'al·lega que els números de targeta de crèdit no es van veure afectats, però els hash de la contrasenya dels usuaris de Ghost podrien caure en mans dels atacants).
- La primera vulnerabilitat (CVE-2020-11651) és causada per la falta de comprovacions adequades a l'cridar als mètodes de la classe ClearFuncs en el procés salt-màster. La vulnerabilitat permet a un usuari remot accedir a certs mètodes sense autenticació. En particular, a través de mètodes problemàtics, un atacant pot obtenir un testimoni per a l'accés root a servidor mestre i executar qualsevol comanda en els hosts servits que executen el dimoni salt-minion. Fa 20 dies es va publicar un pegat que corregeix aquesta vulnerabilitat, però després que la seva aplicació aparegués, es van produir canvis regressius que van provocar bloquejos i interrupció de la sincronització d'arxius.
- La segona vulnerabilitat (CVE-2020-11652) permet, a través de manipulacions amb la classe ClearFuncs, l'accés als mètodes a través de la transferència de rutes definides de certa manera, que es poden utilitzar per a l'accés complet a directoris arbitraris en el FS de servidor mestre amb privilegis de root, però requereix accés autenticat (aquest accés es pot obtenir usant la primera vulnerabilitat i usar la segona vulnerabilitat per comprometre completament tota la infraestructura).