Twórcy platformy mobilnej LineageOS (ten, który zastąpił CyanogenMod) ostrzegali o identyfikacji śladów pozostawionych po nieautoryzowanym dostępie do Twojej infrastruktury. Obserwuje się, że o godzinie 6 rano (MSK) 3 maja atakującemu udało się uzyskać dostęp do głównego serwera scentralizowanego systemu zarządzania konfiguracją SaltStack, wykorzystując lukę, która nie została dotychczas załatana.
Poinformowano tylko, że atak nie miał wpływu klucze do generowania podpisów cyfrowych, system kompilacji i kod źródłowy platformy. Klucze zostały umieszczone na hoście całkowicie oddzielonym od głównej infrastruktury zarządzanej przez SaltStack, a 30 kwietnia z przyczyn technicznych zatrzymano zespoły.
Sądząc po danych na stronie status.lineageos.org, programiści już przywrócili serwer za pomocą systemu przeglądu kodu Gerrit, strony internetowej i wiki. Serwery z kompilacjami (builds.lineageos.org), plik pobierz portal plików (download.lineageos.org), serwery pocztowe oraz system koordynujący przekazywanie do serwerów lustrzanych są obecnie wyłączone.
O orzeczeniu
Aktualizacja została wydana 29 kwietnia z platformy SaltStack 3000.2 i cztery dni później (2 maja) dwie luki zostały wyeliminowane.
Problem leży w którym spośród zgłoszonych luk w zabezpieczeniach jeden został opublikowany 30 kwietnia i otrzymał najwyższy stopień zagrożenia (tutaj znaczenie opublikowania informacji kilka dni lub tygodni po ich odkryciu i wydaniu poprawek błędów lub łatek).
Ponieważ wada umożliwia nieuwierzytelnionemu użytkownikowi zdalne wykonanie kodu jako host kontrolujący (salt-master) i wszystkie serwery zarządzane przez niego.
Atak był możliwy dzięki temu, że port sieciowy 4506 (umożliwiający dostęp do SaltStack) nie był blokowany przez zaporę ogniową dla żądań zewnętrznych iw którym atakujący musiał czekać na działanie, zanim twórcy Lineage SaltStack i ekspluatarovat spróbują zainstalować aktualizacja poprawiająca awarię.
Wszystkim użytkownikom SaltStack zaleca się pilną aktualizację swoich systemów i sprawdzenie, czy nie ma oznak włamania.
Widocznie, ataki za pośrednictwem SaltStack nie ograniczały się tylko do wpływania na LineageOS i stało się powszechne w ciągu dnia, kilku użytkowników, którzy nie mieli czasu na aktualizację SaltStack, zauważyło, że ich infrastruktura została naruszona przez wydobywanie kodu hostingu lub tylne drzwi.
Zgłasza również podobne włamanie infrastruktura systemu zarządzania treścią Duch, coWpłynęło to na strony Ghost (Pro) i płatności (przypuszcza się, że nie dotyczyło to numerów kart kredytowych, ale skróty haseł użytkowników Ghost mogły wpaść w ręce atakujących).
- Pierwsza luka (CVE-2020-11651) jest to spowodowane brakiem odpowiednich sprawdzeń podczas wywoływania metod klasy ClearFuncs w procesie typu „salt-master”. Luka umożliwia zdalnemu użytkownikowi dostęp do pewnych metod bez uwierzytelniania. W szczególności, za pomocą problematycznych metod, osoba atakująca może uzyskać token dostępu roota do serwera głównego i wykonać dowolne polecenie na obsługiwanych hostach, które uruchamiają demona salt-minion. Łata została wydana 20 dni temu, która naprawia tę lukę, ale po pojawieniu się jej aplikacji nastąpiły wsteczne zmiany, które spowodowały awarie i przerwy w synchronizacji plików.
- Druga luka (CVE-2020-11652) umożliwia, poprzez manipulacje klasą ClearFuncs, dostęp do metod poprzez transfer zdefiniowanych w określony sposób ścieżek, które można wykorzystać do pełnego dostępu do dowolnych katalogów na FS serwera głównego z uprawnieniami roota, ale wymaga to uwierzytelnionego dostępu ( taki dostęp można uzyskać wykorzystując pierwszą lukę i wykorzystując drugą podatność do całkowitego złamania całej infrastruktury).