LineageOSモバイルプラットフォームの開発者 (CyanogenModを置き換えたもの) 彼らは警告した 識別について インフラストラクチャへの不正アクセスから残った痕跡。 6月3日の朝XNUMX時(MSK)に観測されます。 攻撃者はなんとかメインサーバーにアクセスできました これまでパッチが適用されていない脆弱性を悪用することによるSaltStack集中構成管理システム。
攻撃が影響を与えなかったことが報告されているだけです デジタル署名を生成するための鍵、 プラットフォームのビルドシステムとソースコード。 キーは、SaltStackを介して管理されるメインインフラストラクチャとは完全に別のホストに配置され、30月XNUMX日に技術的な理由でアセンブリが停止されました。
status.lineageos.orgページのデータから判断すると、開発者はすでにGerritのコードレビューシステム、Webサイト、およびwikiを使用してサーバーを復元しています。 ビルドのあるサーバー (builds.lineageos.org)、 ダウンロードポータル ファイルの数(download.lineageos.org)、メールサーバー ミラーへの転送を調整するシステム 現在無効になっています。
判決について
アップデートは29月XNUMX日にリリースされました SaltStack3000.2プラットフォームから そしてXNUMX日後 (2月XNUMX日) XNUMXつの脆弱性が排除されました。
問題はあります 報告された脆弱性のうち、 30つはXNUMX月XNUMX日に公開され、最高レベルの危険性が割り当てられました (ここでは、パッチまたはバグ修正の発見とリリースから数日または数週間後に情報を公開することの重要性)。
このバグにより、認証されていないユーザーが制御ホスト(salt-master)およびそれを介して管理されるすべてのサーバーとしてリモートでコードが実行される可能性があるためです。
攻撃は、ネットワークポート4506(SaltStackにアクセスするため)が外部リクエストのファイアウォールによってブロックされておらず、攻撃者がLineageSaltStackとekspluatarovatの開発者がインストールを試みる前に行動するのを待たなければならなかったという事実によって可能になりました障害を修正するための更新。
すべてのSaltStackユーザーは、システムを緊急に更新し、ハッキングの兆候がないか確認することをお勧めします。
どうやら SaltStackを介した攻撃は、LineageOSへの影響だけにとどまりませんでした そして日中に広まり、SaltStackを更新する時間がなかった何人かのユーザーは、ホスティングコードやバックドアのマイニングによってインフラストラクチャが危険にさらされていることに気づきました。
彼はまた、同様のハッキングを報告しています コンテンツ管理システムインフラストラクチャ ゴースト、何これはGhost(Pro)サイトと請求に影響を及ぼしました(クレジットカード番号は影響を受けなかったとされていますが、Ghostユーザーのパスワードハッシュは攻撃者の手に渡る可能性があります)。
- 最初の脆弱性(CVE-2020-11651) これは、salt-masterプロセスでClearFuncsクラスのメソッドを呼び出すときに適切なチェックが行われていないことが原因です。 この脆弱性により、リモートユーザーは認証なしで特定のメソッドにアクセスできます。 特に、問題のある方法で、攻撃者はマスターサーバーへのルートアクセス用のトークンを取得し、salt-minionデーモンを実行するサービス対象のホストで任意のコマンドを実行できます。 20日前にこの脆弱性を修正するパッチがリリースされましたが、そのアプリケーションが登場した後、ファイル同期のフリーズと中断を引き起こす後方変更がありました。
- 2020番目の脆弱性(CVE-11652-XNUMX) ClearFuncsクラスを使用した操作により、特定の方法で定義されたパスの転送によるメソッドへのアクセスを許可します。これは、root権限を持つマスターサーバーのFS上の任意のディレクトリへのフルアクセスに使用できますが、認証されたアクセスが必要です(このようなアクセスは、最初の脆弱性を使用し、XNUMX番目の脆弱性を使用してインフラストラクチャ全体を完全に侵害することで取得できます)。