LineageOS mobilās platformas izstrādātāji (tas, kas aizstāja CyanogenMod) viņi brīdināja par identifikāciju pēdas, kas palikušas no nesankcionētas piekļuves jūsu infrastruktūrai. Novērots, ka 6. maijā pulksten 3 no rīta (MSK) plkst. uzbrucējam izdevās piekļūt galvenajam serverim no SaltStack centralizētās konfigurācijas pārvaldības sistēmas, izmantojot ievainojamību, kas līdz šim nav novērsta.
Tiek ziņots tikai, ka uzbrukums neietekmēja digitālo parakstu ģenerēšanas taustiņi, platformas būvēšanas sistēma un pirmkods. Atslēgas tika novietotas resursdatorā, kas bija pilnīgi atsevišķi no galvenās infrastruktūras, kuru pārvalda caur SaltStack, un tehnisko apsvērumu dēļ asamblejas tika apturētas 30. aprīlī.
Spriežot pēc datiem status.lineageos.org lapā, izstrādātāji jau ir atjaunojuši serveri ar Gerrit kodu pārskatīšanas sistēmu, vietni un wiki. Serveri ar būvējumiem (builds.lineageos.org), lejupielādēt portālu failu (download.lineageos.org), pasta serveri un sistēma, lai koordinētu nosūtīšanu uz spoguļiem pašlaik ir invalīdi.
Par nolēmumu
Atjauninājums tika izlaists 29. aprīlī no platformas SaltStack 3000.2 un četras dienas vēlāk (2. maijs) tika novērstas divas ievainojamības.
Problēma slēpjas kurā no ziņotajām ievainojamībām viens tika publicēts 30. aprīlī, un tam tika piešķirts visaugstākais bīstamības līmenis (šeit ir svarīgi publicēt informāciju vairākas dienas vai nedēļas pēc tās atklāšanas un plāksteru vai kļūdu labojumu izlaišanas).
Tā kā kļūda ļauj neautentificētam lietotājam veikt koda attālo izpildi kā kontrolējošajam resursdatoram (salt-master) un visiem ar to pārvaldītajiem serveriem.
Uzbrukumu padarīja iespējamu fakts, ka ugunsmūris nebija bloķējis tīkla portu 4506 (lai piekļūtu SaltStack) ārējiem pieprasījumiem un kurā uzbrucējam bija jāgaida darbība, pirms Lineage SaltStack un ekspluatarovat izstrādātāji mēģinās instalēt atjauninājums, lai novērstu kļūmi.
Visiem SaltStack lietotājiem ieteicams steidzami atjaunināt savas sistēmas un pārbaudīt uzlaušanas pazīmes.
Acīmredzot uzbrukumi, izmantojot SaltStack, neaprobežojās tikai ar LineageOS ietekmēšanu un dienas laikā kļuva plaši izplatīti, vairāki lietotāji, kuriem nebija laika atjaunināt SaltStack, pamanīja, ka viņu infrastruktūra ir apdraudēta, iegūstot mitināšanas kodu vai aizmugures durvis.
Viņš arī ziņo par līdzīgu uzlaušanu satura vadības sistēmas infrastruktūru Spoks, koTas ietekmēja Ghost (Pro) vietnes un norēķinus (iespējams, kredītkaršu numuri netiek ietekmēti, taču Ghost lietotāju parošu jaukšana var nonākt uzbrucēju rokās).
- Pirmā ievainojamība (CVE-2020-11651) to izraisa pareizu pārbaužu trūkums, izsaucot ClearFuncs klases metodes sāls meistara procesā. Ievainojamība ļauj attālinātam lietotājam piekļūt noteiktām metodēm bez autentifikācijas. Konkrēti, izmantojot problemātiskas metodes, uzbrucējs var iegūt marķieri root piekļuvei galvenajam serverim un izpildīt jebkuru komandu apkalpotajos resursdatoros, kuri palaiž sāls-miniona dēmonu. Pirms 20 dienām tika izlaists plāksteris, kas novērš šo ievainojamību, taču pēc tam, kad parādījās tā lietojumprogramma, notika atgriezeniskas izmaiņas, kas izraisīja failu iesaldēšanu un failu sinhronizācijas pārtraukumu.
- Otra ievainojamība (CVE-2020-11652) ļauj, veicot manipulācijas ar ClearFuncs klasi, piekļūt metodēm, pārsūtot noteiktā veidā definētus ceļus, kurus var izmantot, lai pilnībā piekļūtu patvaļīgiem direktorijiem galvenajā serverī FS ar root tiesībām, taču tam ir nepieciešama autentificēta piekļuve ( šādu piekļuvi var iegūt, izmantojot pirmo ievainojamību un izmantojot otro ievainojamību, lai pilnībā apdraudētu visu infrastruktūru).