Vývojáři mobilní platformy LineageOS (ten, který nahradil CyanogenMod) varovali o identifikaci stop po neoprávněném přístupu na vaši infrastrukturu. Je pozorováno, že v 6 hodin ráno (MSK) 3. května útočníkovi se podařilo získat přístup na hlavní server systému centralizované správy konfigurace SaltStack využíváním zranitelnosti, která dosud nebyla opravena.
Uvádí se pouze, že útok neovlivnil klíče pro generování digitálních podpisů, systém sestavení a zdrojový kód platformy. Klíče byly umístěny na hostiteli zcela odděleném od hlavní infrastruktury spravované prostřednictvím SaltStack a shromáždění byla z technických důvodů zastavena 30. dubna.
Soudě podle údajů na stránce status.lineageos.org vývojáři již obnovili server pomocí Gerritova systému pro kontrolu kódu, webových stránek a wiki. Servery s verzemi (builds.lineageos.org), stáhnout portál souborů (download.lineageos.org), poštovní servery a systém pro koordinaci předávání zrcátek jsou aktuálně zakázány.
O rozhodnutí
Aktualizace byla vydána 29. dubna z platformy SaltStack 3000.2 a o čtyři dny později (2. května) byly odstraněny dvě chyby zabezpečení.
Problém spočívá ve kterých ze zranitelných míst, která byla nahlášena, jeden byl zveřejněn 30. dubna a byl mu přidělen nejvyšší stupeň nebezpečí (zde je důležité zveřejnit informace několik dní nebo týdnů po jejich objevení a vydání oprav nebo oprav chyb).
Vzhledem k tomu, že chyba umožňuje neověřenému uživateli provádět vzdálené spuštění kódu jako řídící hostitel (sůl-master) a všechny servery spravované prostřednictvím něj.
Útok umožnil fakt, že síťový port 4506 (pro přístup k SaltStack) nebyl blokován firewallem pro externí požadavky a ve kterém musel útočník počkat, než bude jednat, než se vývojáři Lineage SaltStack a ekspluatarovat pokusí nainstalovat aktualizaci k opravě selhání.
Všem uživatelům systému SaltStack se doporučuje, aby urgentně aktualizovali své systémy a zkontrolovali známky hackerství.
Zjevně útoky přes SaltStack se neomezovaly pouze na ovlivnění LineageOS a během dne se rozšířilo, několik uživatelů, kteří neměli čas aktualizovat SaltStack, si všimlo, že jejich infrastruktura byla ohrožena těžbou kódu hostování nebo zadními vrátky.
Rovněž hlásí podobný hack infrastruktura systému pro správu obsahu Duchu, co?Ovlivnilo to stránky Ghost (Pro) a fakturaci (údajně nebyla ovlivněna čísla kreditních karet, ale hash hesel uživatelů Ghost by se mohl dostat do rukou útočníků).
- První chyba zabezpečení (CVE-2020-11651) je to způsobeno nedostatkem správných kontrol při volání metod třídy ClearFuncs v procesu salt-master. Tato chyba zabezpečení umožňuje vzdálenému uživateli přístup k určitým metodám bez ověření. Zejména prostřednictvím problematických metod může útočník získat token pro přístup root k hlavnímu serveru a provést libovolný příkaz na obsluhovaných hostitelích, na kterých běží démon sůl-minion. Před dvaceti dny byla vydána oprava, která tuto chybu zabezpečení opravila, ale poté, co se objevila její aplikace, došlo k zpětným změnám, které způsobily zamrznutí a přerušení synchronizace souborů.
- Druhá chyba zabezpečení (CVE-2020-11652) umožňuje prostřednictvím manipulací s třídou ClearFuncs přístup k metodám prostřednictvím přenosu cest definovaných určitým způsobem, který lze použít pro plný přístup k libovolným adresářům na FS hlavního serveru s oprávněními uživatele root, ale vyžaduje ověřený přístup ( takový přístup lze získat pomocí první chyby zabezpečení a použití druhé chyby zabezpečení k úplnému ohrožení celé infrastruktury).