LineageOS-mobiilialustan kehittäjät (joka korvasi CyanogenModin) he varoittivat tunnistamisesta infrastruktuurin luvattomasta käytöstä jäljellä olevia jälkiä. Havaitaan, että 6. toukokuuta kello 3 aamulla (MSK) hyökkääjä onnistui pääsemään pääpalvelimeen keskitetystä SaltStack-kokoonpanonhallintajärjestelmästä hyödyntämällä toistaiseksi korjaamatonta haavoittuvuutta.
Raportoidaan vain, että hyökkäys ei vaikuttanut avaimet digitaalisten allekirjoitusten luomiseen, alustan koontijärjestelmä ja lähdekoodi. Avaimet sijoitettiin isäntään, joka oli täysin erillinen SaltStackin kautta hallinnoidusta pääinfrastruktuurista, ja kokoonpanot pysäytettiin teknisistä syistä 30. huhtikuuta.
Status.lineageos.org -sivun tietojen perusteella kehittäjät ovat jo palauttaneet palvelimen Gerritin koodintarkistusjärjestelmällä, verkkosivustolla ja wikillä. Palvelimet, joissa on koontiversio (builds.lineageos.org), lataa portaali tiedostoja (download.lineageos.org), postipalvelimet ja järjestelmä peilien välityksen edelleen koordinoimiseksi ovat tällä hetkellä pois käytöstä.
Tietoja päätöksestä
Päivitys julkaistiin 29. huhtikuuta SaltStack 3000.2 -alustalta ja neljä päivää myöhemmin (2. toukokuuta) kaksi haavoittuvuutta poistettiin.
Ongelma on jossa ilmoitetuista haavoittuvuuksista yksi julkaistiin 30. huhtikuuta ja sille annettiin korkein vaarataso (tässä on tärkeää julkaista tiedot useita päiviä tai viikkoja sen löytämisen ja korjausten tai virhekorjausten julkaisemisen jälkeen).
Koska vika sallii tunnistamattoman käyttäjän suorittaa koodin etäsuorituksen kontrolloivana isäntänä (salt-master) ja kaikilla sen kautta hallinnoiduilla palvelimilla.
Hyökkäyksen mahdollisti se, että palomuuri ei estänyt verkkoporttia 4506 (pääsyyn SaltStackiin) ulkoisten pyyntöjen vuoksi ja jossa hyökkääjän oli odotettava toimia ennen kuin Lineage SaltStackin ja ekspluatarovat -kehittäjät yrittävät asentaa päivitys vian korjaamiseksi.
Kaikkia SaltStack-käyttäjiä kehotetaan päivittämään järjestelmät pikaisesti ja tarkistamaan hakkeroinnin merkit.
Ilmeisesti, hyökkäykset SaltStackin kautta eivät rajoittuneet vain vaikuttamaan LineageOS: iin ja yleistyi päivän aikana, useat käyttäjät, joilla ei ollut aikaa päivittää SaltStackia, huomasivat, että heidän infrastruktuurinsa vaarantuivat kaivamalla isäntäkoodia tai takaovia.
Hän kertoo myös samanlaisen hakkeroinnin sisällönhallintajärjestelmän infrastruktuuri Ghost, mitäSe vaikutti Ghost (Pro) -sivustoihin ja laskutukseen (luottokorttinumerot eivät väitetysti vaikuta, mutta Ghost-käyttäjien salasanan hajautus voi joutua hyökkääjien käsiin).
- Ensimmäinen haavoittuvuus (CVE-2020-11651) se johtuu asianmukaisten tarkastusten puutteesta soitettaessa ClearFuncs-luokan menetelmiä suola-master-prosessissa. Haavoittuvuuden avulla etäkäyttäjä voi käyttää tiettyjä menetelmiä ilman todennusta. Erityisesti ongelmallisten menetelmien avulla hyökkääjä voi hankkia tunnuksen pääkäyttäjälle pääkäyttäjälle ja suorittaa minkä tahansa komennon palveletuilla isännöillä, jotka suorittavat salt-minion-daemonin. 20 päivää sitten julkaistiin korjaustiedosto, joka korjaa tämän haavoittuvuuden, mutta sen sovelluksen ilmestymisen jälkeen tapahtui taaksepäin tehtyjä muutoksia, jotka aiheuttivat jumittumisen ja keskeytykset tiedostojen synkronoinnissa.
- Toinen haavoittuvuus (CVE-2020-11652) sallii ClearFuncs-luokan manipulaatioiden avulla pääsyn menetelmiin siirtämällä tietyllä tavalla määriteltyjä polkuja, joita voidaan käyttää pääkäyttäjän pääkäyttäjän FS: n mielivaltaisiin hakemistoihin pääsyyn, mutta se vaatii todennetun pääsyn ( Tällainen pääsy voidaan saada käyttämällä ensimmäistä haavoittuvuutta ja käyttämällä toista haavoittuvuutta koko infrastruktuurin vaarantamiseksi).