LineageOS 모바일 플랫폼 개발자 (CyanogenMod를 대체 한 것) 그들은 경고했다 식별에 대해 인프라에 대한 무단 액세스로 인한 흔적 6 월 3 일 오전 XNUMX시 (MSK)에 공격자는 주 서버에 액세스 할 수있었습니다. 지금까지 패치되지 않은 취약점을 악용하여 SaltStack 중앙 집중식 구성 관리 시스템.
공격이 영향을 미치지 않았다고 만보고됩니다. 디지털 서명을 생성하는 키, 플랫폼의 빌드 시스템 및 소스 코드. 키는 SaltStack을 통해 관리되는 주요 인프라와 완전히 분리 된 호스트에 배치되었으며 어셈블리는 30 월 XNUMX 일 기술적 인 이유로 중단되었습니다.
status.lineageos.org 페이지의 데이터를 보면 개발자는 이미 Gerrit의 코드 검토 시스템, 웹 사이트 및 위키로 서버를 복원했습니다. 빌드가있는 서버 (builds.lineageos.org), 다운로드 포털 파일 수 (download.lineageos.org), 메일 서버 미러로의 전달을 조정하는 시스템 현재 비활성화되어 있습니다.
판결에 대해
29 월 XNUMX 일에 업데이트가 릴리스되었습니다. SaltStack 3000.2 플랫폼에서 그리고 XNUMX 일 후 (2 월 XNUMX 일) 두 가지 취약점이 제거되었습니다.
문제는 거짓말 보고 된 취약점 중 하나는 30 월 XNUMX 일에 출판되었고 가장 높은 수준의 위험에 할당되었습니다. (여기서는 패치 또는 버그 수정의 발견 및 릴리스 후 며칠 또는 몇 주 후에 정보를 게시하는 것이 중요 함).
이 버그는 인증되지 않은 사용자가 제어 호스트 (salt-master) 및이를 통해 관리되는 모든 서버로 원격 코드 실행을 수행 할 수 있도록 허용하기 때문입니다.
이 공격은 외부 요청에 대해 네트워크 포트 4506 (SaltStack에 액세스하기위한)이 방화벽에 의해 차단되지 않았고 공격자가 리니지 SaltStack 및 ekspluatarovat의 개발자가 설치를 시도하기 전에 조치를 취해야한다는 사실로 인해 가능했습니다. 오류를 수정하기위한 업데이트.
모든 SaltStack 사용자는 시스템을 긴급하게 업데이트하고 해킹 징후를 확인하는 것이 좋습니다.
분명히 SaltStack을 통한 공격은 LineageOS에만 영향을 미치는 것이 아닙니다. 낮 동안 널리 퍼져서 SaltStack을 업데이트 할 시간이 없었던 여러 사용자는 호스팅 코드 나 백도어를 채굴하여 인프라가 손상되었음을 알게되었습니다.
그는 또한 유사한 해킹을보고 콘텐츠 관리 시스템 인프라 유령, 뭐이는 Ghost (Pro) 사이트 및 청구에 영향을 미쳤습니다 (신용 카드 번호는 영향을받지 않았지만 Ghost 사용자의 암호 해시가 공격자의 손에 들어갈 수 있다고합니다).
- 첫 번째 취약점 (CVE-2020-11651) 이는 솔트 마스터 프로세스에서 ClearFuncs 클래스의 메서드를 호출 할 때 적절한 검사가 없기 때문에 발생합니다. 이 취약점은 원격 사용자가 인증없이 특정 방법에 액세스 할 수 있도록합니다. 특히 문제가있는 방법을 통해 공격자는 마스터 서버에 대한 루트 액세스를위한 토큰을 얻고 솔트 미니언 데몬을 실행하는 서비스 호스트에서 모든 명령을 실행할 수 있습니다. 이 취약점을 수정하는 패치가 20 일 전에 출시되었지만 그 응용 프로그램이 나타난 후 파일 동기화 충돌 및 중단을 유발하는 역방향 변경이있었습니다.
- 두 번째 취약점 (CVE-2020-11652) ClearFuncs 클래스를 사용한 조작을 통해 특정 방식으로 정의 된 경로 전송을 통해 메서드에 액세스 할 수 있습니다. 이는 루트 권한으로 마스터 서버의 FS에서 임의의 디렉토리에 대한 전체 액세스에 사용할 수 있지만 인증 된 액세스가 필요합니다 ( 이러한 액세스는 첫 번째 취약성을 사용하고 두 번째 취약성을 사용하여 전체 인프라를 완전히 손상시킬 수 있습니다.