Sviluppatori della piattaforma mobile LineageOS (quello che ha sostituito CyanogenMod) hanno avvertito sull'identificazione di tracce lasciate da accessi non autorizzati sulla tua infrastruttura. Si osserva che alle 6 del mattino (MSK) del 3 maggio, l'attaccante è riuscito ad ottenere l'accesso al server principale del sistema di gestione della configurazione centralizzato SaltStack sfruttando la vulnerabilità che non è stata finora corretta.
È stato solo riferito che l'attacco non ha avuto effetto le chiavi per generare firme digitali, il sistema di compilazione e il codice sorgente della piattaforma. Le chiavi sono state collocate su un host completamente separato dall'infrastruttura principale gestita tramite SaltStack e gli assemblaggi sono stati interrotti per motivi tecnici il 30 aprile.
A giudicare dai dati sulla pagina status.lineageos.org, gli sviluppatori hanno già ripristinato il server con il sistema di revisione del codice, il sito Web e il wiki di Gerrit. Server con build (builds.lineageos.org), il portale di download di file (download.lineageos.org), server di posta e un sistema per coordinare l'inoltro ai mirror sono attualmente disabilitati.
Sulla sentenza
Il 29 aprile è stato rilasciato un aggiornamento dalla piattaforma SaltStack 3000.2 e quattro giorni dopo (2 maggio) sono state eliminate due vulnerabilità.
Il problema sta in cui, delle vulnerabilità segnalate, uno è stato pubblicato il 30 aprile ed è stato assegnato il più alto livello di pericolo (qui l'importanza di pubblicare le informazioni diversi giorni o settimane dopo la sua scoperta e il rilascio delle correzioni di bug o delle patch).
Poiché il difetto consente a un utente non autenticato di eseguire l'esecuzione di codice remoto come host di controllo (salt-master) e tutti i server gestiti attraverso di esso.
L'attacco è stato reso possibile dal fatto che la porta di rete 4506 (per accedere a SaltStack) non era bloccata dal firewall per richieste esterne e nella quale l'attaccante ha dovuto attendere per agire prima che gli sviluppatori di Lineage SaltStack ed ekspluatarovat tentassero di installarsi un aggiornamento per correggere l'errore.
Si consiglia a tutti gli utenti di SaltStack di aggiornare urgentemente i propri sistemi e di verificare la presenza di segni di pirateria informatica.
a quanto pare, gli attacchi tramite SaltStack non si limitavano solo a influenzare LineageOS e si sono diffusi durante il giorno, diversi utenti che non hanno avuto il tempo di aggiornare SaltStack hanno notato che le loro infrastrutture erano compromesse dal codice di hosting minerario o dalle backdoor.
Segnala anche un hack simile su l'infrastruttura del sistema di gestione dei contenuti Fantasma, cosaHa interessato i siti Ghost (Pro) e la fatturazione (si presume che i numeri di carta di credito non siano stati interessati, ma gli hash delle password degli utenti Ghost potrebbero cadere nelle mani degli aggressori).
- La prima vulnerabilità (CVE-2020-11651) è causato dalla mancanza di controlli adeguati quando si chiamano i metodi della classe ClearFuncs nel processo salt-master. La vulnerabilità consente a un utente remoto di accedere a determinati metodi senza autenticazione. In particolare, attraverso metodi problematici, un utente malintenzionato può ottenere un token per l'accesso root al server master ed eseguire qualsiasi comando sugli host serviti che eseguono il daemon salt-minion. Una patch è stata rilasciata 20 giorni fa che risolve questa vulnerabilità, ma dopo la sua applicazione sono state apportate modifiche all'indietro che hanno causato arresti anomali e interruzioni della sincronizzazione dei file.
- La seconda vulnerabilità (CVE-2020-11652) consente, tramite manipolazioni con la classe ClearFuncs, l'accesso a metodi tramite il trasferimento di percorsi definiti in un certo modo, che possono essere utilizzati per l'accesso completo a directory arbitrarie sul FS del server master con privilegi di root, ma richiede un accesso autenticato ( tale accesso può essere ottenuto utilizzando la prima vulnerabilità e utilizzando la seconda vulnerabilità per compromettere completamente l'intera infrastruttura).