Προγραμματιστές της πλατφόρμας LineageOS για κινητά (αυτό που αντικατέστησε το CyanogenMod) προειδοποίησαν σχετικά με την ταυτοποίηση ίχνη που έχουν απομείνει από μη εξουσιοδοτημένη πρόσβαση στην υποδομή σας. Παρατηρείται ότι στις 6 το πρωί (MSK) στις 3 Μαΐου, ο εισβολέας κατάφερε να αποκτήσει πρόσβαση στον κύριο διακομιστή του κεντρικού συστήματος διαχείρισης διαμόρφωσης SaltStack εκμεταλλευόμενοι την ευπάθεια που δεν έχει επιδιορθωθεί μέχρι στιγμής.
Αναφέρεται μόνο ότι η επίθεση δεν επηρέασε τα κλειδιά για τη δημιουργία ψηφιακών υπογραφών, το σύστημα κατασκευής και τον πηγαίο κώδικα της πλατφόρμας. Τα κλειδιά τοποθετήθηκαν σε έναν κεντρικό υπολογιστή εντελώς ξεχωριστό από την κύρια υποδομή που διαχειρίζεται το SaltStack και οι συνελεύσεις σταμάτησαν για τεχνικούς λόγους στις 30 Απριλίου.
Κρίνοντας από τα δεδομένα στη σελίδα status.lineageos.org, οι προγραμματιστές έχουν ήδη αποκαταστήσει τον διακομιστή με το σύστημα ελέγχου κώδικα, τον ιστότοπο και το wiki του Gerrit. Διακομιστές με εκδόσεις (builds.lineageos.org), το λήψη πύλης αρχείων (download.lineageos.org), διακομιστές αλληλογραφίας και ένα σύστημα συντονισμού προώθησης σε καθρέφτες είναι απενεργοποιημένα αυτήν τη στιγμή.
Σχετικά με την απόφαση
Μια ενημέρωση κυκλοφόρησε στις 29 Απριλίου από την πλατφόρμα SaltStack 3000.2 και τέσσερις μέρες αργότερα (2 Μαΐου) εξαλείφθηκαν δύο ευπάθειες.
Το πρόβλημα έγκειται στην οποία, από τις ευπάθειες που αναφέρθηκαν, ένα δημοσιεύθηκε στις 30 Απριλίου και ανατέθηκε το υψηλότερο επίπεδο κινδύνου (εδώ είναι η σημασία της δημοσίευσης των πληροφοριών αρκετές ημέρες ή εβδομάδες μετά την ανακάλυψη και την απελευθέρωση των διορθώσεων σφαλμάτων ή ενημερώσεων κώδικα).
Δεδομένου ότι το σφάλμα επιτρέπει σε έναν μη εξουσιοδοτημένο χρήστη να εκτελεί απομακρυσμένη εκτέλεση κώδικα ως κεντρικός υπολογιστής ελέγχου (salt-master) και όλοι οι διακομιστές διαχειρίζονται μέσω αυτού.
Η επίθεση κατέστη δυνατή λόγω του γεγονότος ότι η θύρα δικτύου 4506 (για πρόσβαση στο SaltStack) δεν αποκλείστηκε από το τείχος προστασίας για εξωτερικά αιτήματα και στην οποία ο εισβολέας έπρεπε να περιμένει να δράσει πριν οι προγραμματιστές του Lineage SaltStack και του ekspluatarovat προσπαθήσουν να εγκαταστήσουν μια ενημέρωση για τη διόρθωση της αποτυχίας.
Συνιστάται σε όλους τους χρήστες του SaltStack να ενημερώσουν επειγόντως τα συστήματά τους και να ελέγξουν για σημάδια εισβολής.
Προφανώς, οι επιθέσεις μέσω του SaltStack δεν περιορίζονταν μόνο στο να επηρεάσουν το LineageOS και έγινε ευρέως διαδεδομένη κατά τη διάρκεια της ημέρας, αρκετοί χρήστες που δεν είχαν χρόνο να ενημερώσουν το SaltStack παρατήρησαν ότι οι υποδομές τους διακυβεύονταν από εξόρυξη κώδικα φιλοξενίας ή πίσω πόρτες.
Αναφέρει επίσης ένα παρόμοιο hack την υποδομή του συστήματος διαχείρισης περιεχομένου Φάντασμα, τιΕπηρεάζει τους ιστότοπους και τις χρεώσεις του Ghost (Pro) (ισχυρίζεται ότι οι αριθμοί πιστωτικών καρτών δεν επηρεάστηκαν, αλλά οι κωδικοί πρόσβασης κωδικών πρόσβασης των χρηστών Ghost θα μπορούσαν να πέσουν στα χέρια των εισβολέων).
- Η πρώτη ευπάθεια (CVE-2020-11651) προκαλείται από την έλλειψη κατάλληλων ελέγχων όταν καλείτε τις μεθόδους της κλάσης ClearFuncs στη διαδικασία master-salt. Η ευπάθεια επιτρέπει σε έναν απομακρυσμένο χρήστη να έχει πρόσβαση σε ορισμένες μεθόδους χωρίς έλεγχο ταυτότητας. Συγκεκριμένα, μέσω προβληματικών μεθόδων, ένας εισβολέας μπορεί να αποκτήσει ένα διακριτικό για πρόσβαση root στον κύριο διακομιστή και να εκτελέσει οποιαδήποτε εντολή στους διακομιστές που εξυπηρετούνται που εκτελούν το δαίμονα salt-minion. Πριν από είκοσι ημέρες κυκλοφόρησε μια ενημέρωση κώδικα που επιδιορθώνει αυτήν την ευπάθεια, αλλά μετά την εμφάνιση της εφαρμογής της, υπήρξαν καθυστερημένες αλλαγές που προκάλεσαν παγώσεις και διακοπή του συγχρονισμού αρχείων.
- Η δεύτερη ευπάθεια (CVE-2020-11652) επιτρέπει, μέσω χειρισμών με την κλάση ClearFuncs, πρόσβαση σε μεθόδους μέσω της μεταφοράς διαδρομών που ορίζονται με συγκεκριμένο τρόπο, οι οποίες μπορούν να χρησιμοποιηθούν για πλήρη πρόσβαση σε αυθαίρετους καταλόγους στο FS του κύριου διακομιστή με δικαιώματα root, αλλά απαιτεί έλεγχο ταυτότητας ( Η πρόσβαση αυτή μπορεί να επιτευχθεί χρησιμοποιώντας την πρώτη ευπάθεια και χρησιμοποιώντας τη δεύτερη ευπάθεια για να υπονομεύσει πλήρως ολόκληρη την υποδομή).