„LineageOS“ mobiliosios platformos kūrėjai (tas, kuris pakeitė „CyanogenMod“) jie perspėjo apie identifikaciją Liko pėdsakų nuo neteisėtos prieigos prie jūsų infrastruktūros. Pastebima, kad gegužės 6 d., 3 val. Ryto (MSK), užpuolikui pavyko pasiekti pagrindinį serverį centralizuotos konfigūracijos valdymo sistemos „SaltStack“ išnaudojant iki šiol nepašalintą pažeidžiamumą.
Tik pranešama, kad ataka neturėjo įtakos raktus skaitmeniniams parašams generuoti, platformos kūrimo sistema ir šaltinio kodas. Raktai buvo įdėti į kompiuterį, visiškai atskirą nuo pagrindinės infrastruktūros, valdomos per „SaltStack“, ir asamblėjos buvo sustabdytos dėl techninių priežasčių balandžio 30 d.
Sprendžiant iš duomenų status.lineageos.org puslapyje, kūrėjai jau atkurė serverį naudodami „Gerrit“ kodų peržiūros sistemą, svetainę ir wiki. Serveriai su versijomis (builds.lineageos.org), atsisiųsti portalą failų (download.lineageos.org), pašto serveriai ir persiuntimo į veidrodžius koordinavimo sistema šiuo metu yra neįgalūs.
Apie nutarimą
Atnaujinimas buvo išleistas balandžio 29 d iš „SaltStack 3000.2“ platformos ir po keturių dienų (Gegužės 2 d.) buvo pašalinti du pažeidžiamumai.
Problema slypi iš kurių buvo pranešta apie pažeidžiamumą vienas buvo paskelbtas balandžio 30 d. ir jam buvo nustatytas didžiausias pavojaus laipsnis (čia svarbu paskelbti informaciją praėjus kelioms dienoms ar savaitėms po jos radimo ir klaidų taisymų ar pataisų išleidimo).
Kadangi trūkumas leidžia neautentifikuotam vartotojui atlikti nuotolinį kodo vykdymą kaip kontroliuojantis pagrindinis kompiuteris („salt-master“) ir visi per jį valdomi serveriai.
Ataka tapo įmanoma dėl to, kad užkarda neužblokavo tinklo prievado 4506 (norint pasiekti „SaltStack“) išorinių užklausų ir kuriame užpuolikas turėjo laukti, kol veiks „Lineage SaltStack“ ir „ekspluatarovat“ kūrėjai. atnaujinimas gedimui ištaisyti.
Visiems „SaltStack“ vartotojams patariama skubiai atnaujinti savo sistemas ir patikrinti, ar nėra įsilaužimo požymių.
Matyt, atakos per „SaltStack“ neapsiribojo tik „LineageOS“ poveikiu ir tapo plačiai paplitę dienos metu, keli vartotojai, neturėję laiko atnaujinti „SaltStack“, pastebėjo, kad jų infrastruktūrai pakenkta kasant prieglobos kodą ar galines duris.
Jis taip pat praneša apie panašų įsilaužimą turinio valdymo sistemos infrastruktūra Vaiduoklis, kąTai paveikė „Ghost“ („Pro“) svetaines ir atsiskaitymus (teigiama, kad tai neturėjo įtakos kreditinių kortelių numeriams, tačiau „Ghost“ vartotojų slaptažodžių maišos galėjo patekti į užpuolikų rankas).
- Pirmasis pažeidžiamumas (CVE-2020-11651) tai sukelia nepakankamas tinkamas patikrinimas, kai reikia nustatyti „ClearFuncs“ klasės metodus druskos pagrindiniame procese. Pažeidžiamumas leidžia nuotoliniam vartotojui pasiekti tam tikrus metodus be autentifikavimo. Visų pirma, naudodamas probleminius metodus, užpuolikas gali gauti prieigos prie pagrindinio serverio šaknies prieigos raktą ir įvykdyti bet kurią komandą aptarnaujamuose pagrindiniuose kompiuteriuose, kuriuose veikia „druska-miniono“ deimonas. Prieš dvidešimt dienų buvo išleistas pleistras, kuris pašalina šį pažeidžiamumą, tačiau pasirodžius jo taikymui, įvyko atgaliniai pakeitimai, dėl kurių užstrigo ir nutrūko failų sinchronizavimas.
- Antrasis pažeidžiamumas (CVE-2020-11652) leidžia, atliekant manipuliavimą „ClearFuncs“ klase, prieigą prie metodų perduodant tam tikru būdu apibrėžtus kelius, kurie gali būti naudojami norint visiškai prieiti prie savavališkų pagrindinio serverio FS katalogų su pagrindinėmis teisėmis, tačiau tam reikalinga patvirtinta prieiga ( tokią prieigą galima gauti naudojant pirmą pažeidžiamumą ir naudojant antrąjį pažeidžiamumą, kad būtų visiškai pažeista visa infrastruktūra).