מפתחי הפלטפורמה הניידת LineageOS (זה שהחליף את CyanogenMod) הם הזהירו על הזדהות עקבות שנותרו מגישה לא מורשית בתשתית שלך. נצפה כי בשעה שש בבוקר (MSK) ב -6 במאי, התוקף הצליח להשיג גישה לשרת הראשי מערכת ניהול התצורה המרכזית של SaltStack על ידי ניצול הפגיעות שלא תוקנה עד כה.
רק מדווח כי ההתקפה לא השפיעה המפתחות ליצירת חתימות דיגיטליות, מערכת הבנייה וקוד המקור של הפלטפורמה. המפתחות הונחו על מארח נפרד לחלוטין מהתשתית הראשית המנוהלת באמצעות SaltStack והאסיפות הופסקו מסיבות טכניות ב- 30 באפריל.
אם לשפוט לפי הנתונים בדף status.lineageos.org, המפתחים כבר שיחזרו את השרת עם מערכת סקירת הקודים, האתר והוויקי של גרי. שרתים עם build (builds.lineageos.org), ה פורטל להורדה של קבצים (download.lineageos.org), שרתי דואר ומערכת לתיאום העברה למראות כרגע מושבתים.
על פסק הדין
עדכון פורסם ב- 29 באפריל מפלטפורמת SaltStack 3000.2 וארבעה ימים לאחר מכן (2 במאי) שתי נקודות תורפה בוטלו.
הבעיה טמונה בהן, מתוך הפגיעות שדווחו עליה, האחד פורסם ב 30 באפריל והוקצה לו רמת הסכנה הגבוהה ביותר (כאן חשיבות פרסום המידע מספר ימים או שבועות לאחר גילויו ושחרורם של תיקונים או תיקוני באגים).
מאחר שהבאג מאפשר למשתמש לא מאומת לבצע ביצוע קוד מרחוק כמארח השולט (salt-master) וכל השרתים המנוהלים באמצעותו.
ההתקפה התאפשרה על ידי העובדה שנמל הרשת 4506 (לגישה ל- SaltStack) לא נחסם על ידי חומת האש לבקשות חיצוניות ובו התוקף נאלץ להמתין לפעול לפני שמפתחי Lineage SaltStack ו- ekspluatarovat ינסו להתקין עדכון לתיקון הכישלון.
לכל משתמשי SaltStack מומלץ לעדכן בדחיפות את מערכותיהם ולבדוק אם ישנם סימני פריצה.
ככל הנראה, התקפות באמצעות SaltStack לא היו מוגבלות רק להשפיע על LineageOS והתפשט במהלך היום, כמה משתמשים שלא הספיקו לעדכן את SaltStack הבחינו שהתשתיות שלהם נפגעו מכריית קוד אירוח או דלתות אחוריות.
הוא גם מדווח על פריצה דומה תשתית מערכת ניהול התוכן רוח רפאים, מהזה השפיע על אתרי Ghost (Pro) ועל החיוב (נטען כי מספרי כרטיסי האשראי לא הושפעו, אך חשיפת הסיסמאות של משתמשי Ghost עשויה ליפול לידי התוקפים).
- הפגיעות הראשונה (CVE-2020-11651) זה נגרם על ידי היעדר בדיקות מתאימות בעת קריאה לשיטות מחלקת ClearFuncs בתהליך מלח-מלח. הפגיעות מאפשרת למשתמש מרוחק לגשת לשיטות מסוימות ללא אימות. בפרט, באמצעות שיטות בעייתיות, תוקף יכול להשיג אסימון לגישת שורש לשרת הראשי ולבצע כל פקודה על המארחים המוגשים שמפעילים את הדמון מלח-מיניון. תיקון שוחרר לפני 20 יום המתקן פגיעות זו, אך לאחר שהיישום שלה הופיע, חלו שינויים לאחור שגרמו לקריסת סנכרון קבצים ולהפרעות.
- הפגיעות השנייה (CVE-2020-11652) מאפשר, באמצעות מניפולציות עם מחלקת ClearFuncs, גישה לשיטות באמצעות העברת נתיבים שהוגדרו בצורה מסוימת, שניתן להשתמש בהן לגישה מלאה לספריות שרירותיות ב- FS של שרת המאסטר עם הרשאות שורש, אך היא דורשת גישה מאומתת ( ניתן להשיג גישה כזו באמצעות הפגיעות הראשונה ובאמצעות הפגיעות השנייה לפגיעה מוחלטת בתשתית כולה).