Les serveurs LineageOS ont été récemment piratés

Développeurs de la plateforme mobile LineageOS (celui qui a remplacé CyanogenMod) ils ont averti sur l'identification de traces laissées par un accès non autorisé sur votre infrastructure. On constate qu'à 6 heures du matin (MSK) le 3 mai, l'attaquant a réussi à accéder au serveur principal du système de gestion de configuration centralisée SaltStack en exploitant la vulnérabilité qui n'a pas encore été corrigée.

Il est seulement rapporté que l'attaque n'a pas affecté les clés pour générer des signatures numériques, le système de construction et le code source de la plate-forme. Les clés ont été placées sur un hôte complètement séparé de l'infrastructure principale gérée via SaltStack et les assemblages ont été interrompus pour des raisons techniques le 30 avril.

À en juger par les données de la page status.lineageos.org, les développeurs ont déjà restauré le serveur avec le système de révision de code, le site Web et le wiki de Gerrit. Serveurs avec builds (builds.lineageos.org), le portail de téléchargement de fichiers (download.lineageos.org), serveurs de messagerie et un système pour coordonner la transmission vers les miroirs sont actuellement désactivés.

À propos de la décision

Une mise à jour a été publiée le 29 avril depuis la plateforme SaltStack 3000.2 et quatre jours plus tard (2 mai) deux vulnérabilités ont été éliminées.

Le problème réside dans lequel, parmi les vulnérabilités signalées, l'un a été publié le 30 avril et s'est vu attribuer le niveau de danger le plus élevé (ici l'importance de publier les informations plusieurs jours ou semaines après sa découverte et la publication des corrections de bogues ou des correctifs).

Étant donné que le bogue permet à un utilisateur non authentifié d'exécuter du code à distance en tant qu'hôte de contrôle (salt-master) et tous les serveurs gérés par lui.

L'attaque a été rendue possible par le fait que le port réseau 4506 (pour accéder au SaltStack) n'était pas bloqué par le pare-feu pour les requêtes externes et dans lequel l'attaquant a dû attendre pour agir avant que les développeurs de Lineage SaltStack et ekspluatarovat tentent d'installer une mise à jour pour corriger l'échec.

Il est conseillé à tous les utilisateurs de SaltStack de mettre à jour d'urgence leurs systèmes et de rechercher des signes de piratage.

Apparemment les attaques via SaltStack ne se limitaient pas seulement à affecter LineageOS et s'est généralisée au cours de la journée, plusieurs utilisateurs n'ayant pas eu le temps de mettre à jour SaltStack ont ​​remarqué que leurs infrastructures étaient compromises par le minage du code d'hébergement ou des portes dérobées.

Il rapporte également un piratage similaire sur l'infrastructure du système de gestion de contenu Fantôme, quoiCela a affecté les sites et la facturation de Ghost (Pro) (il est allégué que les numéros de carte de crédit n'ont pas été affectés, mais les hachages de mot de passe des utilisateurs de Ghost pourraient tomber entre les mains d'attaquants).

  • La première vulnérabilité (CVE-2020-11651) cela est dû au manque de vérifications appropriées lors de l'appel des méthodes de la classe ClearFuncs dans le processus salt-master. La vulnérabilité permet à un utilisateur distant d'accéder à certaines méthodes sans authentification. En particulier, grâce à des méthodes problématiques, un attaquant peut obtenir un jeton pour l'accès root au serveur maître et exécuter n'importe quelle commande sur les hôtes servis qui exécutent le démon salt-minion. Il y a vingt jours, un correctif a été publié qui corrige cette vulnérabilité, mais après l'apparition de son application, il y a eu des modifications en amont qui ont provoqué des blocages et une interruption de la synchronisation des fichiers.
  • La deuxième vulnérabilité (CVE-2020-11652) permet, par le biais de manipulations avec la classe ClearFuncs, d'accéder aux méthodes via le transfert de chemins définis d'une certaine manière, qui peuvent être utilisés pour un accès complet à des répertoires arbitraires sur le FS du serveur maître avec les privilèges root, mais cela nécessite un accès authentifié ( un tel accès peut être obtenu en utilisant la première vulnérabilité et en utilisant la deuxième vulnérabilité pour compromettre complètement l'ensemble de l'infrastructure).

Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.