Utviklere av LineageOS mobilplattform (den som erstattet CyanogenMod) advarte de om identifikasjon av spor igjen fra uautorisert tilgang på infrastrukturen din. Det observeres at klokka 6 om morgenen (MSK) 3. mai, angriperen klarte å få tilgang til hovedserveren av SaltStack sentraliserte konfigurasjonsstyringssystem ved å utnytte sårbarheten som ikke har blitt lappet så langt.
Det rapporteres bare at angrepet ikke påvirket nøklene for å generere digitale signaturer, byggesystemet og kildekoden til plattformen. Nøklene ble plassert på en vert helt atskilt fra hovedinfrastrukturen som administreres gjennom SaltStack, og forsamlingene ble stoppet av tekniske årsaker 30. april.
Ut fra dataene på status.lineageos.org-siden å dømme har utviklerne allerede gjenopprettet serveren med Gerrit's kodevurderingssystem, nettside og wiki. Servere med builds (builds.lineageos.org), den last ned portal av filer (download.lineageos.org), e-postservere og et system for å koordinere videresending til speil er for øyeblikket deaktivert.
Om kjennelsen
En oppdatering ble utgitt 29. april fra SaltStack 3000.2-plattformen og fire dager senere (2. mai) to sårbarheter ble eliminert.
Problemet ligger der av sårbarhetene som ble rapportert, en ble publisert 30. april og ble tildelt det høyeste farenivået (her viktigheten av å publisere informasjonen flere dager eller uker etter at den ble oppdaget og utgitt patcher eller feilrettinger).
Siden feilen tillater en uautentisert bruker å utføre ekstern kjøring av kode som den kontrollerende verten (salt-master) og alle servere som administreres gjennom den.
Angrepet ble gjort mulig av det faktum at nettverksporten 4506 (for å få tilgang til SaltStack) ikke ble blokkert av brannmuren for eksterne forespørsler, og der angriperen måtte vente med å handle før utviklerne av Lineage SaltStack og ekspluatarovat vil prøve å installere en oppdatering for å rette opp feilen.
Alle SaltStack-brukere anbefales å raskt oppdatere systemene sine og se etter tegn på hacking.
tilsynelatende, angrep via SaltStack var ikke bare begrenset til å påvirke LineageOS og ble utbredt i løpet av dagen, flere brukere som ikke hadde tid til å oppdatere SaltStack, la merke til at infrastrukturen deres ble kompromittert av gruvedrift av vertskode eller bakdører.
Han rapporterer også om et lignende hack på innholdsstyringssysteminfrastrukturen Spøkelse, hvaDet påvirket Ghost (Pro) -sider og fakturering (det påstås at kredittkortnumre ikke ble berørt, men passordhashene til Ghost-brukere kan falle i hendene på angripere).
- Den første sårbarheten (CVE-2020-11651) det er forårsaket av mangel på riktige kontroller når man kaller metodene i ClearFuncs-klassen i saltmesterprosessen. Sårbarheten gir en ekstern bruker tilgang til bestemte metoder uten godkjenning. Spesielt, gjennom problematiske metoder, kan en angriper skaffe seg et token for root-tilgang til hovedserveren og utføre en hvilken som helst kommando på de serverte vertene som kjører salt-minion-demonen. En oppdatering ble utgitt for 20 dager siden som løser dette sikkerhetsproblemet, men etter at applikasjonen dukket opp, var det tilbakevendende endringer som forårsaket krasj og forstyrrelser i filsynkronisering.
- Den andre sårbarheten (CVE-2020-11652) tillater, gjennom manipulasjoner med ClearFuncs-klassen, tilgang til metoder gjennom overføring av baner definert på en bestemt måte, som kan brukes for full tilgang til vilkårlige kataloger på FS til masterserveren med root-rettigheter, men det krever godkjent tilgang ( slik tilgang kan oppnås ved å bruke den første sårbarheten og bruke den andre sårbarheten for å kompromittere hele infrastrukturen).