Entwickler der mobilen LineageOS-Plattform (derjenige, der CyanogenMod ersetzte) sie warnten über die Identifizierung von Spuren, die durch nicht autorisierten Zugriff auf Ihre Infrastruktur entstanden sind. Es wird beobachtet, dass am 6. Mai um 3 Uhr morgens (MSK) Dem Angreifer gelang der Zugriff auf den Hauptserver SaltStack zentralisiertes Konfigurationsmanagementsystem, indem die bisher nicht gepatchte Sicherheitsanfälligkeit ausgenutzt wird.
Es wird nur berichtet, dass der Angriff keine Auswirkungen hatte die Schlüssel zur Erzeugung digitaler Signaturen, das Build-System und den Quellcode der Plattform. Die Schlüssel wurden auf einem Host platziert, der vollständig von der über SaltStack verwalteten Hauptinfrastruktur getrennt war, und die Assemblys wurden am 30. April aus technischen Gründen gestoppt.
Nach den Daten auf der Seite status.lineageos.org zu urteilen, haben die Entwickler den Server bereits mit Gerrits Codeüberprüfungssystem, Website und Wiki wiederhergestellt. Server mit Builds (builds.lineageos.org), die Portal herunterladen von Dateien (download.lineageos.org), Mailserver und ein System zur Koordinierung der Weiterleitung an Spiegel sind derzeit deaktiviert.
Über das Urteil
Ein Update wurde am 29. April veröffentlicht von der SaltStack 3000.2-Plattform und vier Tage später (2. Mai) Zwei Schwachstellen wurden beseitigt.
Das Problem liegt in denen von den Schwachstellen, die gemeldet wurden, Eine wurde am 30. April veröffentlicht und erhielt die höchste Gefährdungsstufe (Hier ist es wichtig, die Informationen einige Tage oder Wochen nach ihrer Entdeckung und Veröffentlichung der Fehlerkorrekturen oder -korrekturen zu veröffentlichen).
Da der Fehler es einem nicht authentifizierten Benutzer ermöglicht, die Remotecodeausführung als steuernder Host (Salt-Master) und alle über ihn verwalteten Server durchzuführen.
Der Angriff wurde durch die Tatsache ermöglicht, dass der Netzwerkport 4506 (für den Zugriff auf den SaltStack) nicht von der Firewall für externe Anforderungen blockiert wurde und der Angreifer warten musste, bis die Entwickler von Lineage SaltStack und ekspluatarovat versuchen, ihn zu installieren ein Update, um den Fehler zu beheben.
Allen SaltStack-Benutzern wird empfohlen, ihre Systeme dringend zu aktualisieren und auf Anzeichen von Hacking zu prüfen.
Anscheinend Angriffe über SaltStack beschränkten sich nicht nur auf LineageOS Mehrere Benutzer, die keine Zeit hatten, SaltStack zu aktualisieren, stellten fest, dass ihre Infrastruktur durch den Abbau von Hosting-Code oder Hintertüren beeinträchtigt wurde.
Er berichtet auch über einen ähnlichen Hack die Infrastruktur des Content-Management-Systems Geist, wasEs betraf Ghost (Pro) -Seiten und die Abrechnung (Kreditkartennummern sind angeblich nicht betroffen, aber die Passwort-Hashes der Ghost-Benutzer könnten in die Hände von Angreifern fallen).
- Die erste Sicherheitslücke (CVE-2020-11651) Dies wird durch das Fehlen ordnungsgemäßer Überprüfungen beim Aufrufen der Methoden der ClearFuncs-Klasse im Salt-Master-Prozess verursacht. Die Sicherheitsanfälligkeit ermöglicht es einem Remotebenutzer, ohne Authentifizierung auf bestimmte Methoden zuzugreifen. Insbesondere kann ein Angreifer durch problematische Methoden ein Token für den Root-Zugriff auf den Master-Server erhalten und jeden Befehl auf den bereitgestellten Hosts ausführen, auf denen der Salt-Minion-Daemon ausgeführt wird. Vor 20 Tagen wurde ein Patch veröffentlicht, der diese Sicherheitsanfälligkeit behebt. Nach dem Erscheinen der Anwendung gab es jedoch Rückwärtsänderungen, die zum Einfrieren und Unterbrechen der Dateisynchronisierung führten.
- Die zweite Sicherheitsanfälligkeit (CVE-2020-11652) Ermöglicht durch Manipulationen mit der ClearFuncs-Klasse den Zugriff auf Methoden durch die Übertragung von Pfaden, die auf eine bestimmte Weise definiert wurden. Diese können für den vollständigen Zugriff auf beliebige Verzeichnisse auf dem FS des Master-Servers mit Root-Rechten verwendet werden, erfordern jedoch einen authentifizierten Zugriff ( Ein solcher Zugriff kann mithilfe der ersten Sicherheitsanfälligkeit und mithilfe der zweiten Sicherheitsanfälligkeit erfolgen, um die gesamte Infrastruktur vollständig zu gefährden.