LineageOS mobiiliplatvormi arendajad (see, mis asendas CyanogenModi) nad hoiatasid identifitseerimise kohta teie infrastruktuuri volitamata juurdepääsu jälgedest. Täheldatakse, et 6. mail kell 3 hommikul (MSK) ründajal õnnestus pääs pääseda põhiserverile SaltStacki tsentraliseeritud konfiguratsioonihaldussüsteemi, kasutades ära seni lappimata haavatavust.
Teatatakse ainult, et rünnak ei mõjutanud digitaalallkirjade genereerimise võtmed, platvormi järk ja lähtekood. Võtmed asetati hostile, mis oli täielikult eraldatud SaltStacki kaudu hallatavast põhitaristust ja assambleed peatati tehnilistel põhjustel 30. aprillil.
Lehel status.lineageos.org olevate andmete põhjal otsustades on arendajad serveri Gerrit'i koodide ülevaatuse süsteemi, veebisaidi ja wiki abil juba taastanud. Ehitistega serverid (builds.lineageos.org), allalaadimisportaal failidest (download.lineageos.org), meiliserverid ja peeglitele edastamise koordineerimise süsteem on praegu puudega.
Määruse kohta
Värskendus ilmus 29. aprillil platvormilt SaltStack 3000.2 ja neli päeva hiljem (2. mai) kaks haavatavust kõrvaldati.
Probleem peitub milles teatatud haavatavustest üks avaldati 30. aprillil ja sellele määrati kõrgeim ohutase (siin on oluline avaldada teave mitu päeva või nädalat pärast selle avastamist ja plaastrite või veaparanduste avaldamist).
Kuna viga võimaldab autoriseerimata kasutajal koodi kaugjuhtimist käivitada kontrolliva hostina (soola-master) ja kõigi selle kaudu hallatavate serveritena.
Rünnaku tegi võimalikuks asjaolu, et tulemüür ei blokeerinud võrguporti 4506 (juurdepääsuks SaltStackile) väliste taotluste jaoks ja milles ründaja pidi tegutsema ootama, enne kui Lineage SaltStacki ja ekspluatarovat arendajad proovivad installida tõrke kõrvaldamiseks värskendus.
Kõigil SaltStacki kasutajatel soovitatakse oma süsteeme kiiresti uuendada ja kontrollida häkkimise märke.
Ilmselt rünnakud SaltStacki kaudu ei piirdunud ainult LineageOS-i mõjutamisega ja said päeva jooksul laialt levinud, mitmed kasutajad, kellel polnud aega SaltStacki värskendada, märkasid, et nende infrastruktuure ohustasid hostikoodi kaevamine või tagauksed.
Samuti teatab ta sarnasest häkkimisest sisuhaldussüsteemi infrastruktuur Kummitus, misSee mõjutas Ghosti (Pro) saite ja arveldamist (väidetavalt krediitkaardi numbreid see ei mõjuta, kuid Ghosti kasutajate parooliräsi võib langeda ründajate kätte).
- Esimene haavatavus (CVE-2020-11651) selle põhjuseks on nõuetekohaste kontrollide puudumine ClearFuncsi klassi meetodite kutsumisel soolameistri protsessis. Haavatavus võimaldab kaugkasutajal juurdepääsu teatud meetoditele ilma autentimiseta. Eelkõige saab ründaja probleemsete meetodite abil hankida põhiserverile juurjuurdepääsu jaoks märgi ja täita mis tahes käsu serveeritud hostides, kus käitatakse soola-minioni deemonit. 20 päeva tagasi vabastati plaaster, mis selle haavatavuse parandab, kuid pärast selle rakenduse ilmumist toimusid tagurlikud muudatused, mis põhjustasid failide sünkroonimise külmutamise ja katkemise.
- Teine haavatavus (CVE-2020-11652) võimaldab klassiga ClearFuncs manipuleerimise kaudu juurdepääsu meetoditele teatud viisil määratletud teede ülekandmise kaudu, mida saab kasutada juurõigustega põhiserveri FS-i suvalistele kataloogidele täielikuks juurdepääsuks, kuid see nõuab autentitud juurdepääsu ( sellise juurdepääsu saab esimese haavatavuse ja teise haavatavuse abil, et kogu infrastruktuur täielikult kahjustada).