Udviklere af LineageOS mobilplatform (den der erstattede CyanogenMod) advarede de om identifikation af spor tilbage fra uautoriseret adgang til din infrastruktur. Det bemærkes, at kl. 6 om morgenen (MSK) den 3. maj, angriberen formåede at få adgang til hovedserveren i SaltStack centraliserede konfigurationsstyringssystem ved at udnytte den sårbarhed, der hidtil ikke er blevet patched.
Det rapporteres kun, at angrebet ikke påvirkede nøglerne til at generere digitale signaturer, platformens build-system og kildekode. Nøglerne blev placeret på en vært, der var helt adskilt fra hovedinfrastrukturen, der forvaltes gennem SaltStack, og forsamlingerne blev standset af tekniske årsager den 30. april.
At dømme ud fra dataene på status.lineageos.org-siden har udviklerne allerede gendannet serveren med Gerrit's kodevurderingssystem, websted og wiki. Servere med builds (builds.lineageos.org), den download portal af filer (download.lineageos.org), mailservere og et system til at koordinere videresendelse til spejle er i øjeblikket deaktiveret.
Om afgørelsen
En opdatering blev frigivet den 29. april fra SaltStack 3000.2-platformen og fire dage senere (2. maj) to sårbarheder blev elimineret.
Problemet ligger hvoraf de sårbarheder, der blev rapporteret, en blev offentliggjort den 30. april og fik tildelt det højeste niveau af fare (her vigtigheden af at offentliggøre oplysningerne flere dage eller uger efter opdagelsen og frigivelsen af fejlrettelser eller programrettelser).
Da fejlen tillader en uautentificeret bruger at udføre fjernkodekørsel som den kontrollerende vært (salt-master) og alle servere, der administreres gennem den.
Angrebet blev muliggjort af det faktum, at netværksporten 4506 (for at få adgang til SaltStack) ikke blev blokeret af firewallen til eksterne anmodninger, og hvor angriberen måtte vente med at handle, før udviklerne af Lineage SaltStack og ekspluatarovat vil prøve at installere en opdatering for at rette fejlen.
Alle SaltStack-brugere rådes til hurtigst muligt at opdatere deres systemer og kontrollere for tegn på hacking.
Tilsyneladende, angreb via SaltStack var ikke kun begrænset til at påvirke LineageOS og blev udbredt i løbet af dagen, bemærkede flere brugere, der ikke havde tid til at opdatere SaltStack, at deres infrastrukturer blev kompromitteret af minedrift-hosting-kode eller bagdøre.
Han rapporterer også et lignende hack på infrastruktur til indholdsstyringssystem Spøgelse, hvadDet påvirkede Ghost (Pro) -sider og fakturering (det påstås, at kreditkortnumre ikke blev påvirket, men Ghost-brugernes adgangskodeshash kunne falde i hænderne på angribere).
- Den første sårbarhed (CVE-2020-11651) det er forårsaget af manglen på ordentlig kontrol, når man kalder metoderne i ClearFuncs-klassen i salt-master-processen. Sårbarheden giver en fjernbruger adgang til bestemte metoder uden godkendelse. Især ved hjælp af problematiske metoder kan en angriber få et token til rodadgang til masterserveren og udføre enhver kommando på de serverede værter, der kører salt-minion-dæmonen. For tyve dage siden blev der frigivet en programrettelse, der løser denne sårbarhed, men efter at applikationen blev vist, var der baglæns ændringer, der forårsagede frysning og afbrydelse af filsynkronisering.
- Den anden sårbarhed (CVE-2020-11652) muliggør gennem manipulationer med ClearFuncs-klassen adgang til metoder gennem overførsel af stier, der er defineret på en bestemt måde, som kan bruges til fuld adgang til vilkårlige mapper på FS på masterserveren med root-privilegier, men det kræver godkendt adgang ( sådan adgang kan opnås ved hjælp af den første sårbarhed og ved hjælp af den anden sårbarhed for at kompromittere hele infrastrukturen fuldstændigt).