Programeri mobilne platforme LineageOS (onaj koji je zamijenio CyanogenMod) upozorili su o identifikaciji tragova koji su ostali od neovlaštenog pristupa vašoj infrastrukturi. Primjećuje se da je u 6 sati ujutro (MSK) 3. svibnja napadač je uspio dobiti pristup glavnom poslužitelju SaltStack centralizirani sustav upravljanja konfiguracijom iskorištavanjem ranjivosti koja do sada nije zakrpana.
Samo se izvještava da napad nije utjecao tipke za generiranje digitalnih potpisa, sustav gradnje i izvorni kod platforme. Ključevi su postavljeni na host potpuno odvojen od glavne infrastrukture kojom se upravlja putem SaltStacka, a sklopovi su zaustavljeni iz tehničkih razloga 30. travnja.
Sudeći prema podacima na stranici status.lineageos.org, programeri su već obnovili poslužitelj s Gerritovim sustavom za pregled koda, web stranicom i wikijem. Poslužitelji s buildovima (builds.lineageos.org), portal za preuzimanje datoteka (download.lineageos.org), poslužitelji pošte i sustav za koordinaciju prosljeđivanja na zrcala trenutno su onemogućeni.
O presudi
Ažuriranje je objavljeno 29. travnja s platforme SaltStack 3000.2 i četiri dana kasnije (2. svibnja) otklonjene su dvije ranjivosti.
Problem leži u kojoj su od ranjivosti koje su prijavljene, jedan je objavljen 30. travnja i dodijeljen mu je najviši stupanj opasnosti (ovdje je važnost objavljivanja informacija nekoliko dana ili tjedana nakon otkrivanja i objavljivanja zakrpa ili ispravki programskih pogrešaka).
Budući da programska pogreška omogućuje neautentificiranom korisniku da izvrši daljinsko izvršavanje koda kao kontrolni host (master-sol) i svi poslužitelji kojima se njime upravlja.
Napad je omogućila činjenica da mrežni priključak 4506 (za pristup SaltStacku) nije blokirao vatrozid za vanjske zahtjeve i u kojem je napadač morao pričekati da djeluje prije nego što će programeri Lineage SaltStack i ekspluatarovat pokušati instalirati ažuriranje za ispravljanje kvara.
Svim korisnicima SaltStacka savjetuje se da hitno ažuriraju svoje sustave i provjere ima li znakova hakiranja.
Očigledno, napadi putem SaltStacka nisu bili ograničeni samo na utjecaj na LineageOS i postala široko rasprostranjena tijekom dana, nekoliko korisnika koji nisu imali vremena za ažuriranje SaltStacka primijetili su da je njihova infrastruktura ugrožena rudarskim kodom za hosting ili stražnjim vratima.
Također izvještava o sličnom hakiranju infrastruktura sustava za upravljanje sadržajem Duh, štoTo je utjecalo na web stranice Ghost (Pro) i naplate (navodno broj brojeva kreditnih kartica nije bio pogođen, ali heši lozinki korisnika Ghosta mogli bi pasti u ruke napadača).
- Prva ranjivost (CVE-2020-11651) uzrokovan je nedostatkom ispravnih provjera prilikom pozivanja metoda klase ClearFuncs u procesu master-soli. Ranjivost omogućuje udaljenom korisniku pristup određenim metodama bez provjere autentičnosti. Konkretno, kroz problematične metode, napadač može dobiti token za root pristup glavnom poslužitelju i izvršiti bilo koju naredbu na posluženim hostovima koji pokreću demon-soli-miniona. Prije 20 dana objavljena je zakrpa koja popravlja ovu ranjivost, no nakon što se pojavila njena aplikacija, uslijedile su promjene koje su uzrokovale padove i prekide sinkronizacije datoteka.
- Druga ranjivost (CVE-2020-11652) omogućuje, kroz manipulacije s klasom ClearFuncs, pristup metodama putem prijenosa staza definiranih na određeni način, koje se mogu koristiti za puni pristup proizvoljnim direktorijima na FS glavnog poslužitelja s root privilegijama, ali zahtijeva ovjereni pristup ( takav pristup može se dobiti korištenjem prve ranjivosti i korištenjem druge ranjivosti kako bi se u potpunosti kompromitirala cjelokupna infrastruktura).