توسعه دهندگان پلت فرم تلفن همراه LineageOS (کسی که جایگزین CyanogenMod شد) آنها هشدار دادند در مورد شناسایی از ردپای باقی مانده از دسترسی غیر مجاز به زیرساخت های شما. مشاهده شده است که در ساعت 6 صبح (MSK) در تاریخ 3 مه ، مهاجم موفق شد به سرور اصلی دسترسی پیدا کند از سیستم مدیریت پیکربندی متمرکز SaltStack با بهره گیری از آسیب پذیری که تاکنون وصله نشده است.
فقط گزارش شده است که این حمله تاثیری نداشته است کلیدهای تولید امضاهای دیجیتالی سیستم ساخت و کد منبع پلت فرم. کلیدها روی میزبانی کاملاً جدا از زیرساختهای اصلی مدیریت شده از طریق SaltStack قرار گرفتند و مجموعه ها به دلایل فنی در 30 آوریل متوقف شدند.
با قضاوت از داده های موجود در صفحه status.lineageos.org ، توسعه دهندگان قبلاً سرور را با سیستم بررسی کد ، وب سایت و ویکی گریت بازیابی کرده اند. سرورهای سازنده (builds.lineageos.org) ، پورتال دانلود پرونده ها (download.lineageos.org)، سرورهای نامه و سیستمی برای هماهنگی ارسال به آینه ها در حال حاضر غیر فعال هستند.
درباره این حکم
یک بروزرسانی در تاریخ 29 آوریل منتشر شد از سیستم عامل SaltStack 3000.2 و چهار روز بعد (2 مه) دو آسیب پذیری برطرف شد.
مسئله نهفته است که در آن ، از آسیب پذیری های گزارش شده ، یکی در 30 آوریل منتشر شد و بالاترین سطح خطر را به خود اختصاص داد (در اینجا اهمیت انتشار اطلاعات چند روز یا چند هفته پس از کشف و انتشار وصله ها یا رفع اشکالات).
از آنجا که این اشکال به یک کاربر غیرمجاز امکان اجرای کد از راه دور را به عنوان میزبان کنترل (master-salt) و همه سرورهای مدیریت شده از طریق آن می دهد.
این حمله به این دلیل امکان پذیر شد که پورت شبکه 4506 (برای دسترسی به SaltStack) توسط دیوار آتش برای درخواستهای خارجی مسدود نشده است و در آن مهاجم باید منتظر بماند تا قبل از اینکه توسعه دهندگان Lineage SaltStack و ekspluatarovat سعی کنند نصب کنند به روز رسانی برای اصلاح خرابی.
به تمام کاربران SaltStack توصیه می شود سیستم خود را فوری به روز کرده و علائم هک را بررسی کنند.
ظاهرا ، حملات از طریق SaltStack فقط به تأثیر بر LineageOS محدود نبود و در طول روز گسترده شد ، چندین کاربر که وقت به روزرسانی SaltStack را نداشتند متوجه شدند که زیرساخت های آنها توسط استخراج کد میزبانی یا درهای پشتی به خطر می افتد.
او همچنین گزارش می دهد که هک مشابهی در مورد آن رخ داده است زیرساخت سیستم مدیریت محتوا شبح ، چهاین سایت ها و صورتحساب Ghost (Pro) را تحت تأثیر قرار داده است (گفته می شود شماره کارت اعتباری تحت تأثیر قرار نگرفته است ، اما هش رمز عبور کاربران Ghost ممکن است به دست مهاجمان بیفتد).
- اولین آسیب پذیری (CVE-2020-11651) این امر به دلیل عدم بررسی صحیح هنگام فراخوانی متدهای کلاس ClearFuncs در فرآیند نمک سازی ایجاد می شود. این آسیب پذیری به کاربر از راه دور اجازه می دهد تا بدون احراز هویت به روشهای خاصی دسترسی پیدا کند. به طور خاص ، از طریق روش های مشکل ساز ، یک مهاجم می تواند نشانه ای برای دسترسی ریشه به سرور اصلی بدست آورد و هرگونه فرمان را روی میزبانهای سرویس داده شده که دیمن salt-minion را اجرا می کنند ، اجرا کند. 20 روز پیش وصله ای منتشر شد که این آسیب پذیری را برطرف می کند ، اما پس از ظهور برنامه ، تغییراتی به عقب منجر شد که باعث مسدود شدن و قطع هماهنگی فایل می شود.
- آسیب پذیری دوم (CVE-2020-11652) از طریق دستکاری با کلاس ClearFuncs ، امکان دسترسی به روش ها از طریق انتقال مسیرهای مشخص شده به روش خاص را فراهم می کند ، که می تواند برای دسترسی کامل به دایرکتوری های دلخواه در FS سرور اصلی با امتیازات ریشه استفاده شود ، اما به دسترسی معتبر نیاز دارد ( چنین دسترسی را می توان با استفاده از آسیب پذیری اول و با استفاده از آسیب پذیری دوم به طور کامل کل زیرساخت ها را به خطر انداخت).
اولین کسی باشید که نظر