A LineageOS szervereket nemrégiben feltörték

A LineageOS mobil platform fejlesztői (amely a CyanogenMod helyébe lépett) figyelmeztették az azonosításról az infrastruktúra illetéktelen hozzáféréséből maradt nyomok száma. Megfigyelhető, hogy május 6-án reggel 3 órakor (MSK) a támadónak sikerült hozzáférnie a fő szerverhez A SaltStack központosított konfigurációkezelő rendszere az eddig nem javított sebezhetőség kihasználásával.

Csak arról számolnak be, hogy a támadás nem befolyásolta a digitális aláírások előállításának kulcsai, a build rendszer és a platform forráskódja. A kulcsokat a SaltStack által kezelt fő infrastruktúrától teljesen különálló állomáson helyezték el, és a szerelvényeket technikai okokból április 30-án leállították.

A status.lineageos.org oldalon található adatok alapján a fejlesztők már helyreállították a szervert a Gerrit kódellenőrző rendszerével, weboldalával és wikijével. Szerverek építéssel (builds.lineageos.org), a letöltő portál fájlok (download.lineageos.org), mail szerverek és egy rendszer a tükrökhöz történő továbbítás koordinálására jelenleg le vannak tiltva.

Az ítéletről

Április 29-én frissítés jelent meg a SaltStack 3000.2 platformról és négy nappal később (Május 2.) két sebezhetőséget megszüntettek.

A probléma abban rejlik amelyben a jelentett sebezhetőségek közül az egyik április 30-án jelent meg, és a legmagasabb szintű veszélyt jelölték meg számára (itt fontos az információk közzététele néhány nappal vagy héttel a felfedezésük és a hibajavítások vagy javítások közzététele után).

Mivel a hiba lehetővé teszi egy nem hitelesített felhasználó számára, hogy távoli kódfuttatást hajtson végre vezérlő állomásként (salt-master) és az általa kezelt összes szerverként.

A támadást az tette lehetővé, hogy a 4506 hálózati portot (a SaltStack eléréséhez) a tűzfal nem blokkolta külső kérésekre, és amelyben a támadónak várnia kellett a cselekvésre, mielőtt a Lineage SaltStack és az ekspluatarovat fejlesztői megpróbálnák telepíteni frissítés a hiba kijavításához.

A SaltStack minden felhasználójának javasoljuk, hogy sürgősen frissítse rendszerét, és ellenőrizze a feltörés jeleit.

Látszólag, a SaltStack-en keresztüli támadások nem csupán a LineageOS befolyásolására korlátozódtak és a nap folyamán széles körben elterjedt, több olyan felhasználó, akinek nem volt ideje frissíteni a SaltStack-et, észrevette, hogy infrastruktúrájukat veszélyezteti a tárhelykód vagy a hátsó ajtók bányászata.

Hasonló hackről is beszámol a tartalomkezelő rendszer infrastruktúrája Ghost, miHatással volt a Ghost (Pro) webhelyeire és a számlázásra (állítólag a hitelkártya-számokat nem érintették, de a Ghost-felhasználók jelszó-hashjai a támadók kezébe kerülhetnek).

  • Az első biztonsági rés (CVE-2020-11651) a megfelelő ellenőrzések hiánya okozza a ClearFuncs osztály metódusainak meghívásakor a só-mester folyamatban. A biztonsági rés lehetővé teszi a távoli felhasználók számára, hogy hitelesítés nélkül hozzáférjenek bizonyos módszerekhez. Különösen problematikus módszerekkel a támadó megszerezhet egy tokent a fő kiszolgálóhoz való root hozzáféréshez, és végrehajthat minden olyan parancsot a kiszolgáló gépeken, amelyek futtatják a salt-minion démont. 20 napja kiadtak egy javítást, amely kijavítja ezt a biztonsági rést, de az alkalmazás megjelenése után olyan visszafelé történő változtatások történtek, amelyek a fájlszinkronizálás összeomlásait és megszakításait okozták.
  • A második biztonsági rés (CVE-2020-11652) a ClearFuncs osztállyal végzett manipulációk révén hozzáférést biztosít a módszerekhez egy meghatározott módon meghatározott útvonalak átadásával, amelyek felhasználhatók a fő szerver FS-jének tetszőleges könyvtáraihoz való teljes hozzáféréshez root jogosultságokkal, de hitelesített hozzáférést igényel ( ilyen hozzáférést az első biztonsági réssel, a második biztonsági réssel pedig az egész infrastruktúra teljes veszélyeztetéséhez lehet elérni).

Legyen Ön az első hozzászóló

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.